Signer une stratégie d’intégrité du code à l’aide de Signatures de confiance

Cet article explique comment signer de nouvelles stratégies d’intégrité du code à l’aide du service Signatures de confiance.

Prérequis

Pour accomplir les étapes décrites dans cet article, vous avez besoin de ce qui suit :

• Compte Signatures de confiance, validation d’identité et profil de certificat.
• Attribution individuelle ou de groupe du rôle Signataire du profil de certificat de Signatures de confiance.
• Azure PowerShell sur Windows installé.
• Module Az.CodeSigning téléchargé.

Signer une stratégie d’intégrité du code

1. Ouvrez PowerShell 7.

2. Si vous le souhaitez, vous pouvez créer un fichier metadata.json similaire à cet exemple : (La valeur d’URI "Endpoint" doit avoir un URI qui s’aligne sur la région dans laquelle vous avez créé votre compte Signatures de confiance et votre profil de certificat pendant la configuration de ces ressources.)

   {
   "Endpoint":"https://xxx.codesigning.azure.net/",
   "CodeSigningAccountName":"<Trusted Signing Account Name>",
   "CertificateProfileName":"<Certificate Profile Name>"
   }
   

3. Obtenez le certificat racine que vous souhaitez ajouter au magasin de confiance :

   Get-AzCodeSigningRootCert -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer
   

   Si vous utilisez un fichier metadata.json, exécutez plutôt cette commande :

   Get-AzCodeSigningRootCert -MetadataFilePath C:\temp\metadata.json https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer 
   

4. Pour obtenir l’utilisation améliorée de la clé (EKU) à insérer dans votre stratégie :

   Get-AzCodeSigningCustomerEku -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ 
   

   Si vous utilisez un fichier metadata.json, exécutez plutôt cette commande :

   Get-AzCodeSigningCustomerEku -MetadataFilePath C:\temp\metadata.json 
   

5. Pour signer votre stratégie, exécutez la commande invoke :

   Invoke-AzCodeSigningCIPolicySigning -accountName TestAccount -profileName TestCertProfile -endpointurl "https://xxx.codesigning.azure.net/" -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
   

   Si vous utilisez un fichier metadata.json, exécutez plutôt cette commande :

   Invoke-AzCodeSigningCIPolicySigning -MetadataFilePath C:\temp\metadata.json -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
   

Créer et déployer une stratégie d’intégrité du code

Pour connaître les étapes de création et de déploiement de votre stratégie d’intégrité du code, consultez les articles suivants :

• Utiliser des stratégies signées pour protéger Contrôle d’application Windows Defender contre la falsification
• Guide de conception pour Contrôle d’application Windows Defender