Een CI-beleid ondertekenen met vertrouwde ondertekening

In dit artikel wordt beschreven hoe u nieuwe beleidsregels voor code-integriteit (CI) ondertekent met behulp van de Trusted Signing-service.

Vereisten

U hebt het volgende nodig om de stappen in dit artikel te voltooien:

• Een vertrouwd handtekeningaccount, identiteitsvalidatie en certificaatprofiel.
• Afzonderlijke of groepstoewijzing van de rol Vertrouwde handtekeningcertificaatprofielondertekening.
• Azure PowerShell in Windows geïnstalleerd.
• Az.CodeSigning-module gedownload.

Een CI-beleid ondertekenen

1. Open PowerShell 7.

2. U kunt desgewenst een metadata.json-bestand maken dat er als volgt uitziet:("Endpoint" URI-waarde moet een URI zijn die overeenkomt met de regio waar u uw vertrouwde handtekeningaccount en certificaatprofiel hebt gemaakt bij het instellen van deze resources.)

   {
   "Endpoint":"https://xxx.codesigning.azure.net/",
   "CodeSigningAccountName":"<Trusted Signing Account Name>",
   "CertificateProfileName":"<Certificate Profile Name>"
   }
   

3. Haal het basiscertificaat op dat u wilt toevoegen aan het vertrouwensarchief:

   Get-AzCodeSigningRootCert -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer
   

   Als u een metadata.json-bestand gebruikt, voert u deze opdracht uit:

   Get-AzCodeSigningRootCert -MetadataFilePath C:\temp\metadata.json https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer 
   

4. Ga als volgt te werk om het uitgebreide-sleutelgebruik (EKU) in uw beleid in te voegen:

   Get-AzCodeSigningCustomerEku -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ 
   

   Als u een metadata.json-bestand gebruikt, voert u deze opdracht uit:

   Get-AzCodeSigningCustomerEku -MetadataFilePath C:\temp\metadata.json 
   

5. Voer de invoke opdracht uit om uw beleid te ondertekenen:

   Invoke-AzCodeSigningCIPolicySigning -accountName TestAccount -profileName TestCertProfile -endpointurl "https://xxx.codesigning.azure.net/" -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
   

   Als u een metadata.json-bestand gebruikt, voert u deze opdracht uit:

   Invoke-AzCodeSigningCIPolicySigning -MetadataFilePath C:\temp\metadata.json -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
   

Een CI-beleid maken en implementeren

Zie de volgende artikelen voor stappen voor het maken en implementeren van uw CI-beleid:

• Ondertekend beleid gebruiken om Windows Defender Application Control te beveiligen tegen manipulatie
• Ontwerphandleiding voor Windows Defender Application Control