Assinar uma política de CI usando a Assinatura Confiável

Este artigo mostra como assinar novas políticas de integridade de código (CI) usando o serviço de Assinatura Confiável.

Pré-requisitos

Para concluir as etapas neste artigo, você precisa:

• Uma conta de Assinatura Confiável, validação de identidade e perfil de certificado.
• Atribuição individual ou em grupo da função de Signatário de Perfil de Certificado de Assinatura Confiável.
• Azure PowerShell no Windows instalado.
• Az.CodeSigning módulo baixado.

Assinar uma política de IC

1. Abra o PowerShell 7.

2. Opcionalmente, você pode criar um arquivo de metadata.json parecido com este exemplo:("Endpoint" O valor de URI deve ser um URI alinhado com a região onde você criou sua conta de Assinatura Confiável e perfil de certificado ao configurar esses recursos.)

   {
   "Endpoint":"https://xxx.codesigning.azure.net/",
   "CodeSigningAccountName":"<Trusted Signing Account Name>",
   "CertificateProfileName":"<Certificate Profile Name>"
   }
   

3. Obtenha o certificado raiz que você deseja adicionar ao repositório confiável:

   Get-AzCodeSigningRootCert -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer
   

   Se você estiver usando um arquivo metadata.json , execute este comando:

   Get-AzCodeSigningRootCert -MetadataFilePath C:\temp\metadata.json https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer 
   

4. Para obter o Uso Estendido de Chave (EKU) para inserir em sua política:

   Get-AzCodeSigningCustomerEku -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ 
   

   Se você estiver usando um arquivo metadata.json , execute este comando:

   Get-AzCodeSigningCustomerEku -MetadataFilePath C:\temp\metadata.json 
   

5. Para assinar sua política, execute o invoke comando:

   Invoke-AzCodeSigningCIPolicySigning -accountName TestAccount -profileName TestCertProfile -endpointurl "https://xxx.codesigning.azure.net/" -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
   

   Se você estiver usando um arquivo metadata.json , execute este comando:

   Invoke-AzCodeSigningCIPolicySigning -MetadataFilePath C:\temp\metadata.json -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
   

Criar e implantar uma política de CI

Para conhecer as etapas para criar e implantar sua política de CI, consulte estes artigos:

• Usar políticas assinadas para proteger o Controle de Aplicativo do Windows Defender contra adulteração
• Guia de design do Controle de Aplicativo do Windows Defender