Rychlý start: Nastavení důvěryhodného podepisování

Registrace důvěryhodného zprostředkovatele prostředků podepisování pomocí webu Azure Portal:

1. Přihlaste se k portálu Azure.

2. Ve vyhledávacím poli nebo v části Všechny služby vyberte Předplatná.

3. Vyberte předplatné, ve kterém chcete vytvořit prostředky důvěryhodného podepisování.

4. V nabídce prostředků v části Nastavení vyberte Poskytovatele prostředků.

5. V seznamu poskytovatelů prostředků vyberte Microsoft.CodeSigning.

   Ve výchozím nastavení je stav poskytovatele prostředků notRegistered.

   

6. Vyberte tři tečky a pak vyberte Zaregistrovat.

   

   Stav poskytovatele prostředků se změní na Zaregistrovaný.

Registrace důvěryhodného poskytovatele prostředků podepisování pomocí Azure CLI:

1. Pokud používáte místní instalaci Azure CLI, přihlaste se k Azure CLI pomocí az login příkazu.

2. Pokud chcete dokončit proces ověřování, dokončete kroky, které se zobrazí v terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.

3. Po zobrazení výzvy k prvnímu použití nainstalujte rozšíření Azure CLI.

   Další informace najdete v tématu Použití rozšíření pomocí Azure CLI.

   Další informace o rozšíření Důvěryhodné podepisování Azure CLI naleznete v tématu Důvěryhodné podpisové služby.

4. Pokud chcete zobrazit verze Azure CLI a závislé knihovny, které jsou nainstalované, použijte az version příkaz.

5. Pokud chcete upgradovat na nejnovější verze Azure CLI a závislých knihoven, spusťte následující příkaz:

   az upgrade [--all {false, true}]
      [--allow-preview {false, true}]
       [--yes]
   

6. Pokud chcete nastavit výchozí ID předplatného, použijte az account set -s <subscription ID> tento příkaz.

7. Pokud chcete zaregistrovat důvěryhodného zprostředkovatele prostředků podepisování, použijte tento příkaz:

   az provider register --namespace "Microsoft.CodeSigning"
   

8. Ověřte registraci:

   az provider show --namespace "Microsoft.CodeSigning"
   

9. Pokud chcete přidat rozšíření pro důvěryhodné podepisování, použijte tento příkaz:

   az extension add --name trustedsigning
   

Vytvoření důvěryhodného podpisového účtu pomocí webu Azure Portal:

1. Přihlaste se k portálu Azure.

2. Vyhledejte důvěryhodné podpisové účty a pak vyberte Důvěryhodné podpisové účty.

   

3. V podokně Důvěryhodné podpisové účty vyberte Vytvořit.

4. Jako předplatné vyberte své předplatné Azure.

5. V části Skupina prostředků vyberte Vytvořit nový a zadejte název skupiny prostředků.

6. Jako název účtu zadejte jedinečný název účtu.

   Další informace najdete v tématu Omezení pojmenování pro důvěryhodné podpisové účty.

7. V oblasti vyberte oblast Azure, která podporuje důvěryhodné podepisování.

8. V části Ceny vyberte cenovou úroveň.

9. Vyberte tlačítko Zkontrolovat a vytvořit.

   

10. Po úspěšném vytvoření důvěryhodného podpisového účtu vyberte Přejít k prostředku.

Vytvoření důvěryhodného podpisového účtu pomocí Azure CLI:

1. Pomocí následujícího příkazu vytvořte skupinu prostředků. Pokud se rozhodnete použít existující skupinu prostředků, tento krok přeskočte.

   az group create --name MyResourceGroup --location EastUS
   

2. Vytvořte jedinečný důvěryhodný podpisový účet pomocí následujícího příkazu.

   Další informace najdete v tématu Omezení pojmenování pro důvěryhodné podpisové účty.

   Vytvoření důvěryhodného podpisového účtu, který má skladovou položku Basic:

az trustedsigning create -n MyAccount -l eastus -g MyResourceGroup --sku Basic

To create a Trusted Signing account that has a Premium SKU:

```azurecli
az trustedsigning create -n MyAccount -l eastus -g MyResourceGroup --sku Premium

3. Pomocí příkazu ověřte svůj důvěryhodný podpisový účet az trustedsigning show -g MyResourceGroup -n MyAccount .

   Poznámka:

   Pokud používáte starší verzi Azure CLI z důvěryhodného podpisového privátního náhledu, váš účet se ve výchozím nastavení nastaví na skladovou položku Basic. Pokud chcete použít skladovou položku Premium, upgradujte Azure CLI na nejnovější verzi nebo vytvořte účet pomocí webu Azure Portal.

Následující tabulka uvádí užitečné příkazy , které můžete použít při vytváření důvěryhodného podpisového účtu:

Vytvoření žádosti o ověření identity pro organizaci:

1. Na webu Azure Portal přejděte na nový důvěryhodný podpisový účet.

2. Ověřte, že máte přiřazenou roli Ověření důvěryhodné podpisové identity.

   Informace o správě přístupu pomocí řízení přístupu na základě role (RBAC) najdete v tématu Kurz: Přiřazení rolí v důvěryhodném podepisování.

3. V podokně Přehled důvěryhodného podpisového účtu nebo v nabídce prostředků v části Objekty vyberte Ověření identity.

4. Vyberte Nová identita a pak vyberte Buď Veřejná , nebo Soukromá.

   • Ověření veřejné identity se vztahuje pouze na tyto typy profilů certifikátů: veřejný vztah důvěryhodnosti, test veřejného vztahu důvěryhodnosti, enkláva VBS.
   • Ověřování privátní identity se vztahuje pouze na tyto typy profilů certifikátů: privátní vztah důvěryhodnosti, zásady CI privátního vztahu důvěryhodnosti.

5. Při ověřování nové identity zadejte následující informace:

   Pole	Detaily
   Název organizace	Pro ověření veřejné identity zadejte právnickou obchodní entitu, pro kterou je certifikát vystaven. Pro ověření privátní identity se jako výchozí hodnota nastaví název vašeho tenanta Microsoft Entra.
   (Pouze typ privátní identity) Organizační jednotka	Zadejte příslušné informace.
   Adresa URL webu	Zadejte web, který patří právnické obchodní osobě.
   Primární e-mail	Zadejte e-mailovou adresu přidruženou k právnické obchodní entitě, která prochází ověřením. V rámci procesu ověření identity se na tuto e-mailovou adresu odešle ověřovací odkaz a platnost odkazu vyprší za sedm dnů. Ujistěte se, že e-mailová adresa může přijímat e-maily (s odkazy) z externích e-mailových adres.
   Sekundární e-mail	Tato e-mailová adresa se musí lišit od primární e-mailové adresy. U organizací musí doména odpovídat e-mailové adrese zadané v primární e-mailové adrese. Ujistěte se, že e-mailová adresa může přijímat e-maily z externích e-mailových adres s odkazy.
   Obchodní identifikátor	Zadejte obchodní identifikátor právnické osoby.
   ID prodejce	Platí jenom pro zákazníky z Microsoft Storu. Id prodejce najdete na portálu Partnerského centra.
   Ulice, Město, Země, Stát, PSČ	Zadejte obchodní adresu právnické osoby.

6. Výběrem náhledu předmětu certifikátu zobrazíte náhled informací, které se zobrazí v certifikátu.

7. Vyberte Přijmout podmínky použití společnosti Microsoft pro důvěryhodné podpisové služby. Podmínky použití si můžete stáhnout ke kontrole nebo uložení.

8. Vyberte tlačítko Vytvořit.

9. Po úspěšném vytvoření požadavku se stav žádosti o ověření identity změní na Probíhající.

10. Pokud jsou požadovány další dokumenty, odešle se e-mail a stav žádosti se změní na Povinné akce.

11. Po dokončení procesu ověření identity se stav žádosti změní a odešle se e-mail s aktualizovaným stavem požadavku:

• Dokončeno , pokud je proces úspěšně dokončen.
• Neúspěšné , pokud se proces úspěšně nedokončil.

Důležité informace pro ověření veřejné identity

Vytvoření žádosti o ověření individuální identity pro jednotlivé vývojáře:

1. Na webu Azure Portal přejděte na nový důvěryhodný podpisový účet.

2. Ověřte, že máte přiřazenou roli Ověření důvěryhodné podpisové identity.

   Informace o správě přístupu pomocí řízení přístupu na základě role (RBAC) najdete v tématu Kurz: Přiřazení rolí v důvěryhodném podepisování.

3. V podokně Přehled důvěryhodného podpisového účtu nebo v nabídce prostředků v části Objekty vyberte Ověření identity.

4. V rozevíracím seznamu vyberte Možnost Organizace a pak vyberte Veřejné.

   • Ověření veřejné identity se vztahuje na tyto typy profilů certifikátů: Veřejný vztah důvěryhodnosti, Test veřejného vztahu důvěryhodnosti, Enkláva VBS.
   • Ověřování privátní identity je určené jenom pro organizace.

5. Při ověřování nové identity zadejte následující informace:

   Pole	Detaily
   Jméno	Použijte přesný název, jak se zobrazí v identifikačním dokumentu vydaném státní správou pro proces ověření identity.
   Příjmení	Použijte přesný název, jak se zobrazí v identifikačním dokumentu vydaném státní správou pro proces ověření identity.
   Primární e-mail	Zadejte e-mailovou adresu, která bude dostávat odkaz pro ověření identity. Při přihlášení k účtu Microsoft se ujistěte, že máte stejnou e-mailovou adresu, abyste získali přístup k odkazu pro ověření identity.
   Ulice, Město, Země, Stát, PSČ	Zadejte adresu tak, jak se zobrazí ve vašem dokladu vydaném státní správou nebo vyúčtování služeb nebo bankovním výpisu. Město, stát a země ze zadané adresy se zobrazí na certifikátu.

6. Výběrem náhledu předmětu certifikátu zobrazíte náhled informací, které se zobrazí v certifikátu.

• Vaše e-mailová adresa a poštovní adresa nejsou ve výchozím nastavení součástí certifikátu.

7. Vyberte Přijmout podmínky použití společnosti Microsoft pro důvěryhodné podpisové služby. Podmínky použití si můžete stáhnout ke kontrole nebo uložení.
8. Vyberte tlačítko Vytvořit.
9. Po úspěšném vytvoření požadavku se stav žádosti o ověření identity změní na Probíhající.
10. Když se stav změní na Povinné akce. Klikněte na své jméno, na pravé straně se otevře okno. Klikněte na odkaz v části "Prosím sem dokončete ověření".
11. Dokončete proces ověření identity podle odkazu. K vytvoření účtu Microsoft použijte e-mailovou adresu uvedenou v okamžiku vytvoření žádosti. Po zobrazení výzvy zadejte přihlašovací údaje a přejdete na další obrazovku.
12. Kliknutím na Start v rámci našeho důvěryhodného partnera > Au10tix zahájíte proces ověření. Budete přesměrováni na web třetí strany.
13. Abyste mohli proces dokončit, musíte přejít na mobilní zařízení a po zobrazení výzvy předložit příslušnou dokumentaci.
14. Na mobilním zařízení otevřete aplikaci Authenticator, vyberte Ověřená ID, vpravo dole uvidíte kód QR modře. Klikněte na něj.
15. Na webu Azure Portal klikněte na odkaz, který jste použili k ověření identity, naskenujte kód QR v části Prezentovat ověřené ID z mobilního zařízení. Tím se proces dokončí. Pro úspěšné dokončení se zobrazí zpráva: Ověření bylo úspěšné.

16. Aktualizace stavu ověření identity na webu Azure Portal trvá několik minut. V případě úspěšného ověřeného ID se stav na webu Azure Portal změní na Dokončeno.

Důležité informace pro ověřování veřejných identit pro jednotlivce

1. Minimální požadavky pro mobilní operační systémy a podporované prohlížeče:

2. Typy ID akceptované:

• ID vystavená státní správou, jako jsou pasy, řidičské průkazy nebo id karty.
• ID fotografií (nebo karta sociálního pojištění USA).
• Úřední ID vystavená státní správou, jako je pas, řidičská licence nebo ID státu.
• Neodesílejte soukromě vystavená ID, jako jsou karty knihoven, školní ID, karty členství v klubu atd.

3. Viditelnost/Nízké světlo/Světlé světlo:

• Nepoužívejte blesk.
• Neumisťujte ID do přímého slunečního světla.
• Podržte fotoaparát nebo mobilní zařízení při pořizování snímku.

4. Osvědčené postupy pro doplňkovou dokumentaci:

• Faktury za utility: Elektřina, voda, plyn nebo telefonní faktura (obvykle by měly být poslední tři měsíce).
• Bankovní výpisy: Oficiální výpisy od bank nebo společností kreditních karet, které zobrazují adresu jednotlivce.
• Dokument POA musí mít adresu, jméno a datum, které se zobrazí na hlavní stránce (první stránka), takže není vyžadováno více stránek.

5. Obecné osvědčené postupy:

• Jeden obrázek na soubor, pokud je oboustranný, vytvořte jeden soubor na stranu.
• Ručně psané dokumenty nejsou přijaty.
• Neořízejte obrázek (vyjmutí rohů, chybějící části) zkuste mít okraje na všech stranách zachyceného obrázku před zachycením.
• Nepoužívejte Photoshop ani jiný software pro úpravy; neměňte dokument žádným způsobem.
• Nepoužívejte blesk.
• Udělejte fotku přímo nad dokumentem, když je na rovném povrchu.
• Vyhněte se barevným a hlučným pozadím.
• Neblokujte ID (žádné prsty zakrývající část dokumentu).
• Používejte barevné obrázky, které nejsou nižší než 200 DPI. Ideální velikost obrázku je 500 kB. AU10TIX osvědčeným postupem je přijmout obrázky s rozlišením 400 DPI a vyšším.
• Minimální prahová hodnota pro velikost obrázku pro výsledek OK je 600 W X 370 H pixelů.
• Přijaté typy souborů: .bmp .jpg .gif .tif .pdf.
• Uživatelé nemůžou nahrávat obrázky menší než 30 kB nebo větší než 5 MB.

Vytvoření profilu certifikátu na webu Azure Portal:

1. Na webu Azure Portal přejděte na nový důvěryhodný podpisový účet.

2. V podokně Přehled důvěryhodného podpisového účtu nebo v nabídce prostředků v části Objekty vyberte Profily certifikátů.

3. Na panelu příkazů vyberte Vytvořit a vyberte typ profilu certifikátu.

   

4. V části Vytvořit profil certifikátu zadejte následující informace:

   a. Jako název profilu certifikátu zadejte jedinečný název.

   Další informace najdete v tématu Omezení pojmenování profilů certifikátů.

   Hodnota typu certifikátu se automaticky vyplněná na základě vybraného typu profilu certifikátu.

   b. U ověřeného CN a O vyberte ověření identity, které se musí zobrazit v certifikátu.

   • Pokud se adresa ulice musí zobrazit na certifikátu, zaškrtněte políčko Zahrnout adresu ulice.

   • Pokud se psč musí zobrazit na certifikátu, zaškrtněte políčko Zahrnout PSČ .

     Hodnoty pro zbývající pole se automaticky načítají na základě vašeho výběru ověřeného CN a O.

     Vygenerovaná verze Preview předmětu certifikátu zobrazuje náhled certifikátu, který se vydá.

5. Vyberte Vytvořit.

   

Požadavky

Potřebujete ID ověření identity pro entitu, pro kterou se profil certifikátu vytváří. Podle těchto kroků na webu Azure Portal najděte ID ověření identity.

1. Na webu Azure Portal přejděte na svůj důvěryhodný podpisový účet.

2. V podokně Přehled důvěryhodného podpisového účtu nebo v nabídce prostředků v části Objekty vyberte Ověření identity.

3. Vyberte hypertextový odkaz pro příslušnou entitu. V podokně Ověření identity můžete zkopírovat hodnotu ID ověření identity.

   

Vytvoření profilu certifikátu pomocí Azure CLI:

1. Pomocí následujícího příkazu vytvořte profil certifikátu:

   az trustedsigning certificate-profile create -g MyResourceGroup --a
   account-name MyAccount -n MyProfile --profile-type PublicTrust --identity-validation-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
   

   Další informace najdete v tématu Omezení pojmenování profilů certifikátů.

2. Pomocí následujícího příkazu vytvořte profil certifikátu, který obsahuje volitelná pole (poštovní adresa nebo PSČ) v názvu subjektu certifikátu:

az trustedsigning certificate-profile create -g MyResourceGroup --account-name MyAccount -n MyProfile --profile-type PublicTrust --identity-validation-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx --include-street true

3. Verify that you successfully created a certificate profile by using the following command:

```azurecli
az trustedsigning certificate-profile show -g myRG --account-name MyAccount -n  MyProfile

Následující tabulka obsahuje užitečné příkazy , které můžete použít při vytváření profilu certifikátu pomocí Azure CLI:

Odstranění důvěryhodných podpisových prostředků pomocí webu Azure Portal:

Odstranění profilu certifikátu

1. Na webu Azure Portal přejděte na svůj důvěryhodný podpisový účet.
2. V podokně Přehled důvěryhodného podpisového účtu nebo v nabídce prostředků v části Objekty vyberte Profily certifikátů.
3. V profilech certifikátů vyberte profil certifikátu, který chcete odstranit.
4. Na panelu příkazů vyberte možnost Odstranit.

Odstranění důvěryhodného podpisového účtu

1. Přihlaste se k portálu Azure.
2. Do vyhledávacího pole zadejte a pak vyberte Důvěryhodné podpisové účty.
3. U důvěryhodných podpisových účtů vyberte důvěryhodný podpisový účet, který chcete odstranit.
4. Na panelu příkazů vyberte možnost Odstranit.

Odstranění důvěryhodných podpisových prostředků pomocí Azure CLI:

Odstranění profilu certifikátu

Pokud chcete odstranit profil důvěryhodného podpisového certifikátu, spusťte tento příkaz:

az trustedsigning certificate-profile delete -g MyResourceGroup --account-name MyAccount -n MyProfile

Odstranění důvěryhodného podpisového účtu

K odstranění důvěryhodných podpisových prostředků můžete použít Azure CLI.

Pokud chcete odstranit důvěryhodný podpisový účet, spusťte tento příkaz:

az trustedsigning delete -n MyAccount -g MyResourceGroup