Compartir a través de


Inicio rápido: Configuración de la firma de confianza

La firma de confianza es un servicio de firma de certificados de un extremo a otro de Microsoft totalmente administrado. En este inicio rápido, creará los siguientes tres recursos de firma de confianza para empezar a usar la firma de confianza:

  • Una cuenta de firma de confianza
  • Validación de identidades
  • Un perfil de certificado

Puede usar Azure Portal o una extensión de la CLI de Azure para crear y administrar la mayoría de los recursos de firma de confianza. ( Puede completar la validación de identidades solo en Azure portal. No se puede completar la validación de identidad mediante la CLI de Azure). En este inicio rápido se muestra cómo hacerlo.

Requisitos previos

Para completar este inicio rápido necesita instalar:

Registro del proveedor de recursos de firma de confianza

Antes de usar la firma de confianza, debe registrar el proveedor de recursos de firma de confianza.

Un proveedor de recursos es un servicio que proporciona recursos de Azure. Use Azure Portal o la CLI de Azure para registrar el proveedor de recursos de firma de confianza Microsoft.CodeSigning.

Para registrar un proveedor de recursos de firma de confianza mediante Azure Portal:

  1. Inicie sesión en Azure Portal.

  2. En el cuadro de búsqueda o en Todos los servicios, seleccione Suscripciones.

  3. Seleccione la suscripción en la que desea crear recursos de firma de confianza.

  4. En el menú de recursos de Configuración, seleccione Proveedores de recursos.

  5. En la lista de proveedores de recursos, seleccione Microsoft.CodeSigning.

    De forma predeterminada, el estado del proveedor de recursos es NotRegistered.

    Captura de pantalla que muestra la búsqueda del proveedor de recursos Microsoft.CodeSigning para una suscripción.

  6. Seleccione los puntos suspensivos y, a continuación, seleccione Registrar.

    Captura de pantalla que muestra el proveedor de recursos Microsoft.CodeSigning como registrado.

    El estado del proveedor de recursos cambia a Registrado.

Creación de una cuenta de firma de confianza

Una cuenta de firma de confianza es un contenedor lógico que contiene recursos de perfil de certificado y validación de identidades.

Regiones de Azure que admiten la firma de confianza

Puede crear recursos de firma de confianza solo en regiones de Azure en las que el servicio está disponible actualmente. En la tabla siguiente se enumeran las regiones de Azure que admiten actualmente recursos de firma de confianza:

Region Campos de clase de región Valor del URI del punto de conexión
Este de EE. UU. EastUS https://eus.codesigning.azure.net
Oeste de EE. UU. WestUS https://wus.codesigning.azure.net
Centro-Oeste de EE. UU. WestCentralUS https://wcus.codesigning.azure.net
Oeste de EE. UU. 2 WestUS2 https://wus2.codesigning.azure.net
Norte de Europa Norte de Europa https://neu.codesigning.azure.net
Oeste de Europa Oeste de Europa https://weu.codesigning.azure.net

Restricciones de nomenclatura para cuentas de firma de confianza

Los nombres de cuenta de firma de confianza tienen algunas restricciones.

Un nombre de cuenta de firma de confianza debe:

  • Contienen de 3 a 24 caracteres alfanuméricos.
  • Ser único globalmente.
  • Comience con una letra.
  • Termine con una letra o un número.
  • No contienen guiones consecutivos.

Un nombre de cuenta de firma de confianza es:

  • No distingue mayúsculas de minúsculas (ABC es igual que abc).
  • Rechazado por Azure Resource Manager si comienza por "uno".

Para crear una cuenta de firma de confianza mediante Azure Portal:

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione Cuentas de firma de confianza.

    Captura de pantalla que muestra la búsqueda de cuentas de firma de confianza en Azure Portal.

  3. En el panel Cuentas de firma de confianza, seleccione Crear.

  4. En Suscripción, seleccione su suscripción de Azure.

  5. Para Grupo de recursos, seleccione Crear nuevo, y a continuación, escriba un nombre de grupo de recursos.

  6. En Nombre de cuenta, escriba un nombre de cuenta único.

    Para obtener más información, vea Restricciones de nomenclatura para cuentas de firma de confianza.

  7. Para Región, seleccione una región de Azure que admita la firma de confianza.

  8. Para Precios, seleccione un plan de tarifa.

  9. Seleccione el botón Revisar y Crear.

    Captura de pantalla que muestra la creación de una cuenta de firma de confianza.

  10. Después de crear correctamente la cuenta de firma de confianza, seleccione Ir al recurso.

Creación de una solicitud de validación de identidad

Puede completar su propia validación de identidad rellenando el formulario de solicitud con la información que debe incluirse en el certificado. La validación de identidad solo se puede completar en Azure Portal. No se puede completar la validación de identidad mediante la CLI de Azure.

Nota:

No se puede crear una solicitud de validación de identidad si no se le asigna el rol adecuado. Si el botón Nueva identidad de la barra de menú aparece atenuado en Azure Portal, asegúrese de que tiene asignado el rol Comprobador de identidad de firma de confianza para continuar con la validación de identidades.

Para crear una solicitud de validación de identidad para una organización:

  1. En Azure Portal, vaya a la nueva cuenta de firma de confianza.

  2. Confirme que tiene asignado el rol Comprobador de identidad de firma de confianza.

    Para obtener información sobre cómo administrar el acceso mediante el control de acceso basado en rol (RBAC), vea Tutorial: Asignación de roles en firma de confianza.

  3. En el panel Información general de la cuenta de firma de confianza o en el menú de recursos de Objetos, seleccione Validaciones de identidades.

  4. Seleccione Nueva identidad y, después, seleccione Público o Privado.

    • La validación de identidad pública solo se aplica a estos tipos de perfil de certificado: Confianza pública, prueba de confianza pública, enclave de VBS.
    • La validación de identidad privada solo se aplica a estos tipos de perfil de certificado: Confianza privada, Directiva de CI de confianza privada.
  5. En Nueva validación de identidad, proporcione la siguiente información:

    Fields Detalles
    Nombre de la organización Para la validación de identidad pública, proporcione la entidad empresarial legal a la que se emite el certificado. Para la validación de identidad privada, el valor predeterminado es el nombre del inquilino de Microsoft Entra.
    (Solo para el tipo de identidad privada) Unidad organizativa Escriba la información pertinente.
    url del sitio web Escriba el sitio web que pertenece a la entidad comercial legal.
    Correo electrónico principal Escriba la dirección de correo electrónico asociada a la entidad empresarial legal que está en proceso de validación. Como parte del proceso de validación de identidad, se envía un vínculo de verificación a esta dirección de correo electrónico y el vínculo expira en siete días. Asegúrese de que la dirección de correo electrónico puede recibir correos electrónicos (con vínculos) desde direcciones de correo electrónico externas.
    Correo electrónico secundario Esta dirección de correo electrónico debe ser diferente de la dirección de correo electrónico principal. En el caso de las organizaciones, el dominio debe coincidir con la dirección de correo electrónico proporcionada en la dirección de correo electrónico principal. Asegúrese de que la dirección de correo electrónico puede recibir correos electrónicos de direcciones de correo electrónico externas que tienen vínculos.
    Identificador de negocio Escriba un identificador de negocio para la entidad empresarial legal.
    Identificador de vendedor Solo se aplica a los clientes de Microsoft Store. Busque el identificador de vendedor en el portal del Centro de partners.
    Calle, Ciudad, País, Estado, Código postal Escriba la dirección comercial de la entidad empresarial legal.
  6. Seleccione versión preliminar del firmante del certificado para ver la vista previa de la información que aparece en el certificado.

  7. Seleccione acepto los términos de uso de Microsoft para los servicios de firma de confianza. Puede descargar los Términos de uso para revisarlos o guardarlos.

  8. Seleccione el botón Crear.

  9. Cuando la solicitud se crea correctamente, el estado de la solicitud de validación de identidad cambia a En curso.

  10. Si se requieren más documentos, se envía un correo electrónico y el estado de la solicitud cambia a Acción requerida.

  11. Cuando finalice el proceso de validación de identidad, el estado de la solicitud cambia y se envía un correo electrónico con el estado actualizado de la solicitud:

  • Completado si el proceso se ha completado correctamente.
  • Error si el proceso no se ha completado correctamente.

Captura de pantalla que muestra la opción Público en el panel Nueva validación de identidad.

Captura de pantalla que muestra la opción Privado en el panel Nueva validación de identidad.

Información importante para la validación de identidades públicas

Requisitos Detalles
Incorporación La firma de confianza en este momento solo puede incorporar entidades empresariales legales que tengan un historial fiscal verificable de tres o más años. Para un proceso de incorporación más rápido, asegúrese de que los registros públicos de la entidad empresarial legal que está validado están actualizados.
Exactitud Asegúrese de proporcionar la información correcta para la validación de identidad pública. Si necesita realizar cambios después de crearlo, debe completar una nueva solicitud de validación de identidad. Este cambio afecta a los certificados asociados que se usan para firmar.
Comprobación de correo electrónico con error Si se produce un error en la comprobación del correo electrónico, debe iniciar una nueva solicitud de validación de identidad.
Estado de validación de identidad Recibirá una notificación por correo electrónico cuando haya una actualización del estado de validación de identidad. También puede comprobar el estado en Azure Portal en cualquier momento.
Tiempo de procesamiento El procesamiento de la solicitud de validación de identidad tarda de 1 a 7 días laborables (posiblemente más largo si necesitamos solicitar más documentación de usted).
Más documentación Si necesitamos más documentación para procesar la solicitud de validación de identidad, se le notificará por correo electrónico. Puede cargar los documentos en Azure Portal. El correo electrónico de solicitud de documentación contiene información sobre los requisitos de tamaño de archivo. Asegúrese de que los documentos que proporcione sean los más actuales.
- Todos los documentos enviados deben emitirse en los 12 meses anteriores o cuando la fecha de expiración sea una fecha futura que sea al menos dos meses de distancia.
- Si no es posible proporcionar documentación adicional, actualice la información de su cuenta para que coincida con los documentos legales ya proporcionados o sus detalles oficiales de registro de la Empresa.
- Al proporcionar un documento comercial oficial, como el formulario de registro comercial, la carta comercial o los artículos de incorporación que enumeran el nombre y la dirección de la empresa tal como se proporciona en el momento de la creación de la solicitud de validación de identidad.
- Asegúrese de que el registro de dominio o la factura de dominio del registro o renovación que muestra el nombre de entidad/contacto y el dominio tal como está en el estado de la solicitud.

Creación de un perfil de certificado

Un recurso de perfil de certificado es el contenedor lógico de los certificados que se le emiten para firmar.

Restricciones de nomenclatura para perfiles de certificado

Los nombres de perfil de certificado tienen algunas restricciones.

Un nombre de perfil de certificado debe:

  • Contienen de 5 a 100 caracteres alfanuméricos.
  • Comience con una letra, termine con una letra o un número y no contenga guiones consecutivos.
  • Ser único dentro de la cuenta.

Un nombre de perfil de certificado es:

  • En la misma región de Azure que la cuenta, de forma predeterminada, la herencia.
  • No distingue mayúsculas de minúsculas (ABC es igual que abc).

Para crear un perfil de certificado en Azure Portal:

  1. En Azure Portal, vaya a la nueva cuenta de firma de confianza.

  2. En el panel Información general de la cuenta de firma de confianza o en el menú de recursos de Objetos, seleccione Perfiles de certificado.

  3. En la barra de comandos, seleccione Crear y seleccione un tipo de perfil de certificado.

    Captura de pantalla que muestra los tipos de perfil de certificado de firma de confianza entre los que elegir.

  4. En Crear perfil de certificado, proporcione la siguiente información:

    a. En Nombre del perfil de certificado, escriba un nombre único.

    Para obtener más información, vea Restricciones de nomenclatura para perfiles de certificado.

    El valor de Tipo de certificado se rellena automáticamente en función del tipo de perfil de certificado seleccionado.

    b. Para CN y O comprobados, seleccione una validación de identidad que se debe mostrar en el certificado.

    • Si la dirección postal debe mostrarse en el certificado, active la casilla Incluir dirección postal.

    • Si el código postal debe mostrarse en el certificado, active la casilla Incluir código postal.

      Los valores de los campos restantes se rellenan automáticamente en función de la selección de CN y O comprobados.

      Un generadoVersión preliminar del firmante del certificado muestra la vista previa del certificado que se emitirá.

  5. Seleccione Crear.

    Captura de pantalla que muestra el panel Crear perfil de certificado.

Limpieza de recursos

Para eliminar recursos de firma de confianza mediante Azure Portal:

Eliminación de un perfil de certificado

  1. En Azure Portal, vaya a la cuenta de firma de confianza.
  2. En el panel Información general de la cuenta de firma de confianza o en el menú de recursos de Objetos, seleccione Perfiles de certificado.
  3. En Perfiles de certificado, seleccione el perfil de certificado que desea eliminar.
  4. En la barra de comandos, seleccione Eliminar.

Nota:

Esta acción detiene cualquier firma asociada al perfil de certificado.

Eliminar una cuenta de firma de confianza

  1. Inicie sesión en Azure Portal.
  2. En el cuadro de búsqueda, escriba y seleccione Cuentas de firma de confianza.
  3. En Cuentas de firma de confianza, seleccione la cuenta de firma de confianza que desea eliminar.
  4. En la barra de comandos, seleccione Eliminar.

Nota:

Esta acción quita todos los perfiles de certificado que están vinculados a esta cuenta. Los procesos de firma asociados a los perfiles de certificado se detienen.

En este inicio rápido, ha creado una cuenta de firma de confianza, una solicitud de validación de identidad y un perfil de certificado. Para más información sobre la firma de confianza y para iniciar el recorrido de firma, vea estos artículos: