Rychlý start: Nastavení důvěryhodného podepisování
Důvěryhodné podepisování je plně spravovaná komplexní služba podepisování certifikátů od Microsoftu. V tomto rychlém startu vytvoříte následující tři důvěryhodné podpisové prostředky, které začnou používat důvěryhodné podepisování:
- Důvěryhodný podpisový účet
- Ověření identity
- Profil certifikátu
K vytvoření a správě většiny důvěryhodných podpisových prostředků můžete použít azure Portal nebo rozšíření Azure CLI. (Ověření identity můžete dokončit jenom na webu Azure Portal. Ověření identity nejde dokončit pomocí Azure CLI.) V tomto rychlém startu se dozvíte, jak na to.
Požadavky
K dokončení tohoto rychlého startu je potřeba:
ID tenanta Microsoft Entra.
Další informace naleznete v tématu Vytvoření tenanta Microsoft Entra.
Předplatné Azure.
Pokud ho ještě nemáte, přečtěte si téma Vytvoření předplatného Azure, než začnete.
Registrace zprostředkovatele důvěryhodných podpisových prostředků
Před použitím důvěryhodného podepisování musíte zaregistrovat zprostředkovatele prostředků důvěryhodného podepisování.
Poskytovatel prostředků je služba, která poskytuje prostředky Azure. Pomocí webu Azure Portal nebo Azure CLI zaregistrujte Microsoft.CodeSigning
zprostředkovatele důvěryhodných podpisových prostředků.
Registrace důvěryhodného zprostředkovatele prostředků podepisování pomocí webu Azure Portal:
Přihlaste se k portálu Azure.
Ve vyhledávacím poli nebo v části Všechny služby vyberte Předplatná.
Vyberte předplatné, ve kterém chcete vytvořit prostředky důvěryhodného podepisování.
V nabídce prostředků v části Nastavení vyberte Poskytovatele prostředků.
V seznamu poskytovatelů prostředků vyberte Microsoft.CodeSigning.
Ve výchozím nastavení je stav poskytovatele prostředků notRegistered.
Vyberte tři tečky a pak vyberte Zaregistrovat.
Stav poskytovatele prostředků se změní na Zaregistrovaný.
Vytvoření důvěryhodného podpisového účtu
Důvěryhodný podpisový účet je logický kontejner, který obsahuje prostředky ověření identity a profilu certifikátu.
Oblasti Azure, které podporují důvěryhodné podepisování
Důvěryhodné podpisové prostředky můžete vytvářet jenom v oblastech Azure, ve kterých je služba aktuálně dostupná. Následující tabulka uvádí oblasti Azure, které aktuálně podporují důvěryhodné prostředky podepisování:
Oblast | Pole třídy oblasti | Hodnota identifikátoru URI koncového bodu |
---|---|---|
USA – východ | EastUS | https://eus.codesigning.azure.net |
USA – západ | WestUS | https://wus.codesigning.azure.net |
Středozápad USA | WestCentralUS | https://wcus.codesigning.azure.net |
Západní USA 2 | WestUS2 | https://wus2.codesigning.azure.net |
Severní Evropa | Severní Evropa | https://neu.codesigning.azure.net |
Západní Evropa | WestEurope | https://weu.codesigning.azure.net |
Omezení pojmenování pro důvěryhodné podpisové účty
Názvy důvěryhodných podpisových účtů mají určitá omezení.
Název důvěryhodného podpisového účtu musí:
- Obsahuje 3 až 24 alfanumerických znaků.
- Buďte globálně jedineční.
- Začněte písmenem.
- Končí písmenem nebo číslem.
- Neobsahuje po sobě jdoucí pomlčky.
Název důvěryhodného podpisového účtu je:
- Nerozlišuje se malá a velká písmena (ABC je stejná jako abc).
- Pokud azure Resource Manager začne na "1", zamítne ho Azure Resource Manager.
Vytvoření důvěryhodného podpisového účtu pomocí webu Azure Portal:
Přihlaste se k portálu Azure.
Vyhledejte důvěryhodné podpisové účty a pak vyberte Důvěryhodné podpisové účty.
V podokně Důvěryhodné podpisové účty vyberte Vytvořit.
Jako předplatné vyberte své předplatné Azure.
V části Skupina prostředků vyberte Vytvořit nový a zadejte název skupiny prostředků.
Jako název účtu zadejte jedinečný název účtu.
Další informace najdete v tématu Omezení pojmenování pro důvěryhodné podpisové účty.
V oblasti vyberte oblast Azure, která podporuje důvěryhodné podepisování.
V části Ceny vyberte cenovou úroveň.
Vyberte tlačítko Zkontrolovat a vytvořit.
Po úspěšném vytvoření důvěryhodného podpisového účtu vyberte Přejít k prostředku.
Vytvoření žádosti o ověření identity
Ověření vlastní identity můžete dokončit vyplněním formuláře žádosti informacemi, které musí být součástí certifikátu. Ověření identity je možné dokončit pouze na webu Azure Portal. Ověření identity nejde dokončit pomocí Azure CLI.
Poznámka:
Pokud nemáte přiřazenou odpovídající roli, nemůžete vytvořit žádost o ověření identity. Pokud se tlačítko Nová identita na řádku nabídek na webu Azure Portal zobrazuje šedě, ujistěte se, že máte přiřazenou roli Ověření důvěryhodné podpisové identity, abyste mohli pokračovat v ověřování identity.
Vytvoření žádosti o ověření identity pro organizaci:
Na webu Azure Portal přejděte na nový důvěryhodný podpisový účet.
Ověřte, že máte přiřazenou roli Ověření důvěryhodné podpisové identity.
Informace o správě přístupu pomocí řízení přístupu na základě role (RBAC) najdete v tématu Kurz: Přiřazení rolí v důvěryhodném podepisování.
V podokně Přehled důvěryhodného podpisového účtu nebo v nabídce prostředků v části Objekty vyberte Ověření identity.
Vyberte Nová identita a pak vyberte Buď Veřejná , nebo Soukromá.
- Ověření veřejné identity se vztahuje pouze na tyto typy profilů certifikátů: veřejný vztah důvěryhodnosti, test veřejného vztahu důvěryhodnosti, enkláva VBS.
- Ověřování privátní identity se vztahuje pouze na tyto typy profilů certifikátů: privátní vztah důvěryhodnosti, zásady CI privátního vztahu důvěryhodnosti.
Při ověřování nové identity zadejte následující informace:
Pole Detaily Název organizace Pro ověření veřejné identity zadejte právnickou obchodní entitu, pro kterou je certifikát vystaven. Pro ověření privátní identity se jako výchozí hodnota nastaví název vašeho tenanta Microsoft Entra. (Pouze typ privátní identity) Organizační jednotka Zadejte příslušné informace. Adresa URL webu Zadejte web, který patří právnické obchodní osobě. Primární e-mail Zadejte e-mailovou adresu přidruženou k právnické obchodní entitě, která prochází ověřením. V rámci procesu ověření identity se na tuto e-mailovou adresu odešle ověřovací odkaz a platnost odkazu vyprší za sedm dnů. Ujistěte se, že e-mailová adresa může přijímat e-maily (s odkazy) z externích e-mailových adres. Sekundární e-mail Tato e-mailová adresa se musí lišit od primární e-mailové adresy. U organizací musí doména odpovídat e-mailové adrese zadané v primární e-mailové adrese. Ujistěte se, že e-mailová adresa může přijímat e-maily z externích e-mailových adres s odkazy. Obchodní identifikátor Zadejte obchodní identifikátor právnické osoby. ID prodejce Platí jenom pro zákazníky z Microsoft Storu. Id prodejce najdete na portálu Partnerského centra. Ulice, Město, Země, Stát, PSČ Zadejte obchodní adresu právnické osoby. Výběrem náhledu předmětu certifikátu zobrazíte náhled informací, které se zobrazí v certifikátu.
Vyberte Přijmout podmínky použití společnosti Microsoft pro důvěryhodné podpisové služby. Podmínky použití si můžete stáhnout ke kontrole nebo uložení.
Vyberte tlačítko Vytvořit.
Po úspěšném vytvoření požadavku se stav žádosti o ověření identity změní na Probíhající.
Pokud jsou požadovány další dokumenty, odešle se e-mail a stav žádosti se změní na Povinné akce.
Po dokončení procesu ověření identity se stav žádosti změní a odešle se e-mail s aktualizovaným stavem požadavku:
- Dokončeno , pokud je proces úspěšně dokončen.
- Neúspěšné , pokud se proces úspěšně nedokončil.
Důležité informace pro ověření veřejné identity
Požadavky | Detaily |
---|---|
Onboarding | Důvěryhodné podepisování v tuto chvíli může připojit pouze právnické obchodní subjekty, které mají ověřitelnou historii daně tři nebo více let. Pro rychlejší proces onboardingu se ujistěte, že jsou veřejné záznamy pro právnickou obchodní entitu, kterou jste ověřili, aktuální. |
Přesnost | Ujistěte se, že jste zadali správné informace pro ověření veřejné identity. Pokud potřebujete po vytvoření provést nějaké změny, musíte dokončit novou žádost o ověření identity. Tato změna má vliv na přidružené certifikáty, které se používají k podepisování. |
Ověření e-mailu se nezdařilo | Pokud ověření e-mailu selže, musíte zahájit novou žádost o ověření identity. |
Stav ověření identity | Když dojde k aktualizaci stavu ověření identity, budete upozorněni e-mailem. Stav můžete kdykoli zkontrolovat také na webu Azure Portal. |
Doba zpracování | Zpracování žádosti o ověření identity trvá od 1 do 7 pracovních dnů (možná déle, pokud od vás potřebujeme požádat o další dokumentaci). |
Další dokumentace | Pokud potřebujeme další dokumentaci ke zpracování žádosti o ověření identity, budete upozorněni e-mailem. Dokumenty můžete nahrát na webu Azure Portal. E-mail s žádostí o dokumentaci obsahuje informace o požadavcích na velikost souboru. Ujistěte se, že všechny dokumenty, které zadáte, jsou nejaktuálnější. - Všechny odeslané dokumenty musí být vydány během předchozích 12 měsíců nebo kde datum vypršení platnosti je budoucí datum, které je alespoň dva měsíce pryč. - Pokud není možné poskytnout další dokumentaci, aktualizujte informace o svém účtu tak, aby odpovídaly jakýmkoli právním dokumentům, které jsou již poskytnuty, nebo oficiální údaje o registraci společnosti. - Při poskytování oficiálního obchodního dokladu, jako je formulář registrace firmy, obchodní listina nebo články začlenění, které uvádějí název a adresu společnosti, jak je uvedeno v době vytvoření žádosti o ověření identity. – Ujistěte se, že registrace domény nebo faktura za doménu pochází z registrace nebo prodloužení, která uvádí název entity/kontaktu a doménu, jak je na žádosti ve stavu. |
Vytvoření profilu certifikátu
Prostředek profilu certifikátu je logický kontejner certifikátů vystavených k podepisování.
Omezení pojmenování pro profily certifikátů
Názvy profilů certifikátů mají určitá omezení.
Název profilu certifikátu musí:
- Obsahuje 5 až 100 alfanumerických znaků.
- Začínat písmenem, končit písmenem nebo číslicí a nesmí obsahovat po sobě jdoucí pomlčky.
- Buďte v rámci účtu jedineční.
Název profilu certifikátu je:
- Ve stejné oblasti Azure jako účet ve výchozím nastavení dědičnost.
- Nerozlišuje se malá a velká písmena (ABC je stejná jako abc).
Vytvoření profilu certifikátu na webu Azure Portal:
Na webu Azure Portal přejděte na nový důvěryhodný podpisový účet.
V podokně Přehled důvěryhodného podpisového účtu nebo v nabídce prostředků v části Objekty vyberte Profily certifikátů.
Na panelu příkazů vyberte Vytvořit a vyberte typ profilu certifikátu.
V části Vytvořit profil certifikátu zadejte následující informace:
a. Jako název profilu certifikátu zadejte jedinečný název.
Další informace najdete v tématu Omezení pojmenování profilů certifikátů.
Hodnota typu certifikátu se automaticky vyplněná na základě vybraného typu profilu certifikátu.
b. U ověřeného CN a O vyberte ověření identity, které se musí zobrazit v certifikátu.
Pokud se adresa ulice musí zobrazit na certifikátu, zaškrtněte políčko Zahrnout adresu ulice.
Pokud se psč musí zobrazit na certifikátu, zaškrtněte políčko Zahrnout PSČ .
Hodnoty pro zbývající pole se automaticky načítají na základě vašeho výběru ověřeného CN a O.
Vygenerovaná verze Preview předmětu certifikátu zobrazuje náhled certifikátu, který se vydá.
Vyberte Vytvořit.
Vyčištění prostředků
Odstranění důvěryhodných podpisových prostředků pomocí webu Azure Portal:
Odstranění profilu certifikátu
- Na webu Azure Portal přejděte na svůj důvěryhodný podpisový účet.
- V podokně Přehled důvěryhodného podpisového účtu nebo v nabídce prostředků v části Objekty vyberte Profily certifikátů.
- V profilech certifikátů vyberte profil certifikátu, který chcete odstranit.
- Na panelu příkazů vyberte možnost Odstranit.
Poznámka:
Tato akce zastaví podepisování přidružené k profilu certifikátu.
Odstranění důvěryhodného podpisového účtu
- Přihlaste se k portálu Azure.
- Do vyhledávacího pole zadejte a pak vyberte Důvěryhodné podpisové účty.
- U důvěryhodných podpisových účtů vyberte důvěryhodný podpisový účet, který chcete odstranit.
- Na panelu příkazů vyberte možnost Odstranit.
Poznámka:
Tato akce odebere všechny profily certifikátů, které jsou propojené s tímto účtem. Všechny podpisové procesy přidružené k profilům certifikátů se zastaví.
Související obsah
V tomto rychlém startu jste vytvořili důvěryhodný podpisový účet, žádost o ověření identity a profil certifikátu. Další informace o důvěryhodném podepisování a zahájení cesty k podepisování najdete v těchto článcích:
- Přečtěte si další informace o integraci podepisování.
- Přečtěte si další informace o modelech důvěryhodnosti , které důvěryhodné podepisování podporuje.
- Přečtěte si další informace o správě certifikátů.
- Potřebujete pomoc s nastavením:
- Spojte se prostřednictvím podpory Azure prostřednictvím webu Azure Portal.
- Odešlete dotaz na Stack Overflow nebo Microsoft Q&A a použijte značku: důvěryhodné podepisování.
- Problémy s ověřováním identity je možné vyřešit pouze pomocí Stack Overflow nebo Microsoft Q&A.