Signera en CI-princip med hjälp av betrodd signering

Den här artikeln visar hur du signerar nya principer för kodintegritet (CI) med hjälp av tjänsten Betrodd signering.

Förutsättningar

För att utföra stegen i den här artikeln behöver du:

• Ett konto för betrodd signering, identitetsverifiering och certifikatprofil.
• Individuell tilldelning eller grupptilldelning av rollen Signerad certifikatprofil för betrodd signeringscertifikat.
• Azure PowerShell i Windows installerat.
• Az.CodeSigning-modulen har laddats ned.

Signera en CI-princip

1. Öppna PowerShell 7.

2. Du kan också skapa en metadata.json fil som ser ut som det här exemplet:("Endpoint" URI-värdet måste vara en URI som överensstämmer med den region där du skapade ditt betrodda signeringskonto och certifikatprofil när du konfigurerade dessa resurser.)

   {
   "Endpoint":"https://xxx.codesigning.azure.net/",
   "CodeSigningAccountName":"<Trusted Signing Account Name>",
   "CertificateProfileName":"<Certificate Profile Name>"
   }
   

3. Hämta rotcertifikatet som du vill lägga till i förtroendearkivet:

   Get-AzCodeSigningRootCert -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer
   

   Om du använder en metadata.json fil kör du det här kommandot i stället:

   Get-AzCodeSigningRootCert -MetadataFilePath C:\temp\metadata.json https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cer 
   

4. Så här hämtar du den utökade nyckelanvändningen (EKU) som ska infogas i principen:

   Get-AzCodeSigningCustomerEku -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ 
   

   Om du använder en metadata.json fil kör du det här kommandot i stället:

   Get-AzCodeSigningCustomerEku -MetadataFilePath C:\temp\metadata.json 
   

5. Kör kommandot för invoke att signera principen:

   Invoke-AzCodeSigningCIPolicySigning -accountName TestAccount -profileName TestCertProfile -endpointurl "https://xxx.codesigning.azure.net/" -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
   

   Om du använder en metadata.json fil kör du det här kommandot i stället:

   Invoke-AzCodeSigningCIPolicySigning -MetadataFilePath C:\temp\metadata.json -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com 
   

Skapa och distribuera en CI-princip

Anvisningar för hur du skapar och distribuerar din CI-princip finns i följande artiklar:

• Använda signerade principer för att skydda Windows Defender-programkontroll mot manipulering
• Designguide för Windows Defender-programkontroll