Partilhar via


Guia de início rápido: configurar a assinatura confiável

A Assinatura Confiável é um serviço de assinatura de certificado de ponta a ponta totalmente gerenciado pela Microsoft. Neste início rápido, você cria os três recursos de Assinatura Confiável a seguir para começar a usar a Assinatura Confiável:

  • Uma conta de assinatura confiável
  • Uma validação de identidade
  • Um perfil de certificado

Você pode usar o portal do Azure ou uma extensão da CLI do Azure para criar e gerenciar a maioria dos seus recursos de Assinatura Confiável. (Você pode concluir a validação de identidade somente no portal do Azure. Não é possível concluir a validação de identidade usando a CLI do Azure.) Este guia de início rápido mostra como.

Pré-requisitos

Para concluir este guia de início rápido, necessita de:

  • Um ID de locatário do Microsoft Entra.

    Para obter mais informações, consulte Criar um locatário do Microsoft Entra.

  • Uma subscrição do Azure.

    Se ainda não tiver uma, consulte Criar uma subscrição do Azure antes de começar.

Registrar o provedor de recursos de Assinatura Confiável

Antes de usar a Assinatura Confiável, você deve registrar o provedor de recursos de Assinatura Confiável.

Um provedor de recursos é um serviço que fornece recursos do Azure. Use o portal do Azure ou a CLI do Azure para registrar o provedor de recursos de Microsoft.CodeSigning Assinatura Confiável.

Para registrar um provedor de recursos de Assinatura Confiável usando o portal do Azure:

  1. Inicie sessão no portal do Azure.

  2. Na caixa de pesquisa ou em Todos os serviços, selecione Subscrições.

  3. Selecione a subscrição onde pretende criar recursos de Assinatura Fidedigna.

  4. No menu de recursos em Configurações, selecione Provedores de recursos.

  5. Na lista de provedores de recursos, selecione Microsoft.CodeSigning.

    Por padrão, o status do provedor de recursos é NotRegistered.

    Captura de tela que mostra a localização do provedor de recursos Microsoft.CodeSigning para uma assinatura.

  6. Selecione as reticências e, em seguida, selecione Registrar.

    Captura de tela que mostra o provedor de recursos Microsoft.CodeSigning como registrado.

    O status do provedor de recursos muda para Registrado.

Criar uma conta de Assinatura Confiável

Uma conta de Assinatura Confiável é um contêiner lógico que contém recursos de validação de identidade e perfil de certificado.

Regiões do Azure que suportam Assinatura Confiável

Você pode criar recursos de Assinatura Confiável somente em regiões do Azure onde o serviço está disponível no momento. A tabela a seguir lista as regiões do Azure que atualmente oferecem suporte a recursos de Assinatura Confiável:

País/Região Campos de classe de região Valor do URI do ponto de extremidade
E.U.A. Leste EastUS https://eus.codesigning.azure.net
E.U.A. Oeste WestUS https://wus.codesigning.azure.net
E.U.A. Centro-Oeste WestCentralUS https://wcus.codesigning.azure.net
E.U.A. Oeste 2 WestUS2 https://wus2.codesigning.azure.net
Europa do Norte Norte da Europa https://neu.codesigning.azure.net
Europa Ocidental Europa Ocidental https://weu.codesigning.azure.net

Restrições de nomenclatura para contas de Assinatura Confiável

Os nomes de conta de Assinatura Confiável têm algumas restrições.

Um nome de conta de Assinatura Confiável deve:

  • Contêm de 3 a 24 caracteres alfanuméricos.
  • Seja globalmente único.
  • Comece com uma carta.
  • Termine com uma letra ou número.
  • Não conter hífenes consecutivas.

Um nome de conta de Assinatura Confiável é:

  • Não diferencia maiúsculas de minúsculas (ABC é o mesmo que abc).
  • Rejeitado pelo Azure Resource Manager se começar com "um".

Para criar uma conta de Assinatura Confiável usando o portal do Azure:

  1. Inicie sessão no portal do Azure.

  2. Procure e selecione Contas de Assinatura Confiáveis.

    Captura de ecrã que mostra a pesquisa de Contas de Assinatura Fidedignas no portal do Azure.

  3. No painel Contas de Assinatura Confiáveis, selecione Criar.

  4. Em Assinatura, selecione sua assinatura do Azure.

  5. Em Grupo de recursos, selecione Criar novo e insira um nome de grupo de recursos.

  6. Em Nome da conta, insira um nome de conta exclusivo.

    Para obter mais informações, consulte Restrições de nomenclatura para contas de assinatura confiáveis.

  7. Em Região, selecione uma região do Azure que ofereça suporte à Assinatura Confiável.

  8. Em Preços, selecione um nível de preço.

  9. Selecione o botão Rever + Criar .

    Captura de ecrã que mostra a criação de uma conta de Assinatura Fidedigna.

  10. Depois de criar com êxito sua conta de Assinatura Confiável, selecione Ir para recurso.

Criar uma solicitação de validação de identidade

Pode completar a sua própria validação de identidade preenchendo o formulário de pedido com as informações que devem constar do certificado. A validação de identidade só pode ser concluída no portal do Azure. Não é possível concluir a validação de identidade usando a CLI do Azure.

Nota

Não é possível criar uma solicitação de validação de identidade se não lhe for atribuída a função apropriada. Se o botão Nova identidade na barra de menus aparecer esmaecido no portal do Azure, certifique-se de que lhe foi atribuída a função Verificador de Identidade de Assinatura Confiável para prosseguir com a validação de identidade.

Para criar uma solicitação de validação de identidade para uma Organização:

  1. No portal do Azure, vá para sua nova conta de Assinatura Confiável.

  2. Confirme que lhe foi atribuída a função de Verificador de Identidade de Assinatura Fidedigno.

    Para saber como gerenciar o acesso usando o RBAC (controle de acesso baseado em função), consulte Tutorial: Atribuir funções na assinatura confiável.

  3. No painel Visão geral da conta de assinatura confiável ou no menu de recursos em Objetos, selecione Validações de identidade.

  4. Selecione Nova identidade e, em seguida, selecione Público ou Privado.

    • A validação de identidade pública aplica-se apenas a estes tipos de perfil de certificado: Public Trust, Public Trust Test, VBS Enclave.
    • A validação de identidade privada aplica-se apenas a estes tipos de perfil de certificado: Private Trust, Private Trust CI Policy.
  5. Em Nova validação de identidade, forneça as seguintes informações:

    Campos Detalhes
    Nome da Organização Para validação de identidade pública, forneça a entidade comercial legal para a qual o certificado é emitido. Para validação de identidade privada, o valor assume como padrão o nome do locatário do Microsoft Entra.
    (Apenas tipo de identidade privada) Unidade Organizacional Insira as informações relevantes.
    URL do site Entre no site que pertence à entidade comercial legal.
    E-mail principal Insira o endereço de e-mail associado à entidade comercial legal que está sendo validada. Como parte do processo de Validação de Identidade, um link de verificação é enviado para este endereço de e-mail e o link expira em sete dias. Certifique-se de que o endereço de e-mail pode receber e-mails (com links) de endereços de e-mail externos.
    E-mail secundário Este endereço de e-mail deve ser diferente do endereço de e-mail principal. Para organizações, o domínio deve corresponder ao endereço de e-mail fornecido no endereço de e-mail principal. Certifique-se de que o endereço de e-mail pode receber e-mails de endereços de e-mail externos que tenham links.
    Identificador de negócios Insira um identificador de empresa para a entidade comercial legal.
    ID do vendedor Aplica-se apenas a clientes da Microsoft Store. Encontre o seu ID de vendedor no portal do Partner Center.
    Rua, Cidade, País, Estado, Código postal Insira o endereço comercial da entidade comercial legal.
  6. Selecione Visualização do assunto do certificado para ver a visualização das informações que aparecem no certificado.

  7. Selecione Aceito os termos de utilização da Microsoft para serviços de assinatura fidedignos. Pode transferir os Termos de Utilização para os rever ou guardar.

  8. Selecione o botão Criar.

  9. Quando a solicitação é criada com êxito, o status da solicitação de validação de identidade muda para Em andamento.

  10. Se forem necessários mais documentos, um e-mail será enviado e o status da solicitação será alterado para Ação necessária.

  11. Quando o processo de validação de identidade é concluído, o status da solicitação muda e um e-mail é enviado com o status atualizado da solicitação:

  • Concluído se o processo for concluído com êxito.
  • Falha se o processo não for concluído com êxito.

Captura de tela que mostra a opção Pública no painel Nova validação de identidade.

Captura de ecrã que mostra a opção Privado no painel Nova validação de identidade.

Informações importantes para a validação da identidade pública

Requisitos Detalhes
Integração A Assinatura Confiável neste momento só pode integrar entidades comerciais legais que tenham histórico fiscal verificável de três ou mais anos. Para um processo de integração mais rápido, certifique-se de que os registros públicos da entidade comercial legal que você validou estejam atualizados.
Precisão Certifique-se de fornecer as informações corretas para validação de identidade pública. Se você precisar fazer alguma alteração depois que ele for criado, deverá concluir uma nova solicitação de validação de identidade. Essa alteração afeta os certificados associados que estão sendo usados para assinatura.
Falha na verificação de e-mail Se a verificação de e-mail falhar, você deverá iniciar uma nova solicitação de validação de identidade.
Status de validação de identidade Você será notificado por e-mail quando houver uma atualização no status de validação de identidade. Você também pode verificar o status no portal do Azure a qualquer momento.
Tempo de processamento O processamento do seu pedido de validação de identidade demora entre 1 a 7 dias úteis (possivelmente mais tempo se precisarmos de lhe solicitar mais documentação).
Mais documentação Se precisarmos de mais documentação para processar a solicitação de validação de identidade, você será notificado por e-mail. Você pode carregar os documentos no portal do Azure. O e-mail de solicitação de documentação contém informações sobre os requisitos de tamanho de arquivo. Certifique-se de que todos os documentos fornecidos são os mais atuais.
- Todos os documentos apresentados devem ser emitidos nos 12 meses anteriores ou quando a data de validade for uma data futura que esteja a pelo menos dois meses de distância.
- Se não for possível fornecer documentação adicional, atualize as informações da sua conta para corresponder aos documentos legais já fornecidos ou aos detalhes oficiais de registro da empresa.
- Ao fornecer documento comercial oficial, como formulário de registro comercial, carta comercial ou contrato social que liste o nome e o endereço da empresa, conforme é fornecido no momento da criação da solicitação de Validação de Identidade.
- Assegurar o registo de domínio ou fatura de domínio do registo ou renovação que liste a entidade/nome de contacto e domínio tal como está indicado no pedido.

Criar um perfil de certificado

Um recurso de perfil de certificado é o contêiner lógico dos certificados emitidos para assinatura.

Restrições de nomenclatura para perfis de certificado

Os nomes de perfil de certificado têm algumas restrições.

Um nome de perfil de certificado deve:

  • Contém de 5 a 100 caracteres alfanuméricos.
  • Comece com uma letra, termine com uma letra ou número e não contenha hífenes consecutivas.
  • Seja único dentro da conta.

Um nome de perfil de certificado é:

  • Na mesma região do Azure que a conta, por padrão, herança.
  • Não diferencia maiúsculas de minúsculas (ABC é o mesmo que abc).

Para criar um perfil de certificado no portal do Azure:

  1. No portal do Azure, vá para sua nova conta de Assinatura Confiável.

  2. No painel Visão geral da conta de assinatura confiável ou no menu de recursos em Objetos, selecione Perfis de certificado.

  3. Na barra de comandos, selecione Criar e selecione um tipo de perfil de certificado.

    Captura de tela que mostra os tipos de perfil de certificado de Assinatura Confiável para escolher.

  4. Em Criar perfil de certificado, forneça as seguintes informações:

    a. Em Nome do Perfil do Certificado, insira um nome exclusivo.

    Para obter mais informações, consulte Restrições de nomenclatura para perfis de certificado.

    O valor de Tipo de Certificado é preenchido automaticamente com base no tipo de perfil de certificado selecionado.

    b. Para CN e O verificados, selecione uma validação de identidade que deve ser exibida no certificado.

    • Se o endereço precisar ser exibido no certificado, marque a caixa de seleção Incluir endereço .

    • Se o código postal precisar ser exibido no certificado, marque a caixa de seleção Incluir código postal.

      Os valores para os campos restantes são preenchidos automaticamente com base na sua seleção para CN e O verificados.

      Uma Visualização do Assunto do Certificado gerada mostra a visualização do certificado que será emitido.

  5. Selecione Criar.

    Captura de tela que mostra o painel Criar perfil de certificado.

Clean up resources (Limpar recursos)

Para excluir recursos de Assinatura Confiável usando o portal do Azure:

Excluir um perfil de certificado

  1. No portal do Azure, aceda à sua conta de Assinatura Fidedigna.
  2. No painel Visão geral da conta de assinatura confiável ou no menu de recursos em Objetos, selecione Perfis de certificado.
  3. Em Perfis de certificado, selecione o perfil de certificado que deseja excluir.
  4. Na barra de comandos, selecione Eliminar.

Nota

Esta ação interrompe qualquer assinatura associada ao perfil do certificado.

Excluir uma conta de assinatura confiável

  1. Inicie sessão no portal do Azure.
  2. Na caixa de pesquisa, introduza e, em seguida, selecione Contas de Assinatura Fidedignas.
  3. Em Contas de Assinatura Confiáveis, selecione a conta de Assinatura Confiável que você deseja excluir.
  4. Na barra de comandos, selecione Eliminar.

Nota

Esta ação remove todos os perfis de certificado associados a esta conta. Todos os processos de assinatura associados aos perfis de certificado são interrompidos.

Neste início rápido, você criou uma conta de Assinatura Confiável, uma solicitação de validação de identidade e um perfil de certificado. Para saber mais sobre a Assinatura Confiável e iniciar sua jornada de assinatura, consulte estes artigos:

  • Saiba mais sobre como assinar integrações.
  • Saiba mais sobre os modelos de confiança suportados pela Assinatura Confiável.
  • Saiba mais sobre o gerenciamento de certificados.
  • Precisa de ajuda com a sua configuração:
    • Entre em contato por meio do Suporte do Azure por meio do portal do Azure.
    • Poste sua consulta no Stack Overflow ou no Microsoft Q&A, use a tag: trusted-signing.
      • Os problemas de Validação de Identidade só podem ser resolvidos com Estouro de Pilha ou Perguntas e Respostas da Microsoft.