신뢰할 수 있는 서명을 사용하여 CI 정책 서명

이 문서에서는 신뢰할 수 있는 서명 서비스를 사용하여 새 CI(코드 무결성) 정책에 서명하는 방법을 설명합니다.

필수 조건

이 문서의 단계를 완료하려면 다음이 필요합니다.

• 신뢰할 수 있는 서명 계정, ID 유효성 검사, 인증서 프로필
• 신뢰할 수 있는 서명 인증서 프로필 서명자 역할의 개별 또는 그룹 할당.
• Windows의 Azure PowerShell 설치됨.
• Az.CodeSigning 모듈 다운로드됨.

CI 정책 서명

1. PowerShell 7을 엽니다.

2. 경우에 따라 이 예제와 같은 metadata.json 파일을 만들 수 있습니다("Endpoint" URI 값은 이러한 리소스를 설정할 때 신뢰할 수 있는 서명 계정 및 인증서 프로필을 만든 지역과 일치하는 URI여야 함).

   {
   "Endpoint":"https://xxx.codesigning.azure.net/",
   "CodeSigningAccountName":"<Trusted Signing Account Name>",
   "CertificateProfileName":"<Certificate Profile Name>"
   }
   

3. 신뢰 저장소에 추가하려는 루트 인증서를 가져옵니다.

   Get-AzCodeSigningRootCert -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer
   

   metadata.json 파일을 사용하는 경우 다음 명령을 대신 실행합니다.

   Get-AzCodeSigningRootCert -MetadataFilePath C:\temp\metadata.json https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer 
   

4. 정책에 삽입할 EKU(확장된 키 사용)를 얻으려면 다음을 수행합니다.

   Get-AzCodeSigningCustomerEku -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ 
   

   metadata.json 파일을 사용하는 경우 다음 명령을 대신 실행합니다.

   Get-AzCodeSigningCustomerEku -MetadataFilePath C:\temp\metadata.json 
   

5. 정책에 서명하려면 invoke 명령을 실행합니다.

   Invoke-AzCodeSigningCIPolicySigning -accountName TestAccount -profileName TestCertProfile -endpointurl "https://xxx.codesigning.azure.net/" -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
   

   metadata.json 파일을 사용하는 경우 다음 명령을 대신 실행합니다.

   Invoke-AzCodeSigningCIPolicySigning -MetadataFilePath C:\temp\metadata.json -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
   

CI 정책 만들기 및 배포

CI 정책을 만들고 배포하는 단계는 다음 문서를 참조하세요.

• 서명된 정책을 사용하여 변조로부터 Windows Defender Application Control 보호
• Windows Defender 애플리케이션 제어 디자인 가이드