Démarrage rapide : configurer Signatures de confiance
Signatures de confiance est un service de signature de certificats de bout en bout complètement managé par Microsoft. Dans ce guide de démarrage rapide, vous créez les trois ressources Signatures de confiance suivantes pour commencer à utiliser Signatures de confiance :
- Un compte Signatures de confiance
- Une validation d’identité
- Un profil de certificat
Vous pouvez utiliser le Portail Azure ou une extension Azure CLI pour créer et gérer la plupart de vos ressources Signatures de confiance. (Vous pouvez effectuer la validation d’identité uniquement sur le Portail Azure. Vous ne pouvez pas effectuer la validation d’identité à l’aide d’Azure CLI.) Ce guide de démarrage rapide vous montre comment.
Prérequis
Pour effectuer ce démarrage rapide, les éléments suivants sont requis :
Un ID de locataire Microsoft Entra.
Pour obtenir plus d’informations, consultez Configurer un locataire Microsoft Entra.
Un abonnement Azure.
Si vous n’en avez pas encore, consultez Créer un abonnement Azure avant de commencer.
Inscrire le fournisseur de ressources de signature approuvée
Avant d’utiliser Signatures de confiance, vous devez inscrire le fournisseur de ressources Signatures de confiance.
Un fournisseur de ressources est un service qui fournit des ressources Azure. Utilisez le Portail Azure ou Azure CLI pour inscrire le fournisseur de ressources Signatures de confiance Microsoft.CodeSigning.
Pour inscrire un fournisseur de ressources Signatures de confiance en utilisant le Portail Azure :
Connectez-vous au portail Azure.
Dans la barre de recherche ou sous Tous les services, sélectionnez Abonnements.
Sélectionnez l’abonnement où vous souhaitez créer des ressources Signatures de confiance.
Dans le menu de ressources, sous Paramètres, sélectionnez Fournisseurs de ressources.
Dans la liste des fournisseurs de ressources, sélectionnez Microsoft.CodeSigning.
Par défaut, l’état du fournisseur de ressources est NotRegistered.
Sélectionnez les points de suspension, puis Inscrire.
L’état du fournisseur de ressources passe à Registered.
Créer un compte de signature approuvée
Un compte Signatures de confiance est un conteneur logique qui détient les ressources de validation d’identité et de profil de certificat.
Régions Azure qui prennent en charge Signatures de confiance
Vous pouvez créer des ressources Signatures de confiance uniquement dans les régions Azure dans lesquelles le service est actuellement disponible. Le tableau suivant répertorie les régions Azure qui prennent actuellement en charge les ressources Signatures de confiance :
| Région | Champs de classe de région | Valeur d’URI du point de terminaison |
|---|---|---|
| USA Est | USAEst | https://eus.codesigning.azure.net |
| USA Ouest | WestUS | https://wus.codesigning.azure.net |
| Centre-USA Ouest | USACentreOuest | https://wcus.codesigning.azure.net |
| USA Ouest 2 | WestUS2 | https://wus2.codesigning.azure.net |
| Europe Nord | NorthEurope | https://neu.codesigning.azure.net |
| Europe Ouest | WestEurope | https://weu.codesigning.azure.net |
Contraintes d’affectation de noms pour les comptes Signatures de confiance
Les noms des comptes Signatures de confiance sont soumis à des contraintes.
Le nom d’un compte Signatures de confiance doit :
- Contenir entre 3 et 24 caractères alphanumériques.
- Être globalement unique.
- Commencer par une lettre.
- Doit se terminer par une lettre ou un chiffre.
- Ne pas contenir des traits d’union consécutifs.
Le nom d’un compte Signatures de confiance :
- Ne respecte pas la casse (ABC est identique à abc).
- Est rejeté par Azure Resource Manager s’il commence par « one ».
Pour créer un compte Signatures de confiance à l’aide du Portail Azure :
Connectez-vous au portail Azure.
Recherchez, puis sélectionnez Comptes Signatures de confiance.
Dans le volet Comptes Signatures de confiance, sélectionnez Créer.
Pour Abonnement, sélectionnez votre abonnement Azure.
Pour Groupe de ressources, sélectionnez Créer, puis entrez un nom de groupe de ressources.
Pour Nom du compte, entrez un nom de compte unique.
Pour plus d’informations, consultez Contraintes d’affectation de noms pour les comptes Signatures de confiance.
Pour Région, sélectionnez une région Azure qui prend en charge Signatures de confiance.
Pour Tarification, sélectionnez un niveau tarifaire.
Sélectionnez le bouton Vérifier + Créer.
Après avoir réussi la création de votre compte Signatures de confiance, sélectionnez Accéder à la ressource.
Créer une requête de validation d’identité
Vous pouvez effectuer votre propre validation d’identité en remplissant le formulaire de requête avec les informations qui doivent être incluses dans le certificat. La validation d’identité peut se faire uniquement sur le Portail Azure. Vous ne pouvez pas effectuer la validation d’identité à l’aide d’Azure CLI.
Remarque
Vous ne pouvez pas créer de requête de validation d’identité si vous n’avez pas le rôle approprié. Si le bouton Nouvelle identité de la barre de menus est grisé sur le Portail Azure, vérifiez que vous disposez du rôle Vérificateur d’identité pour Signatures de confiance pour poursuivre la validation d’identité.
Pour créer une requête de validation d’identité :
Sur le Portail Azure, accédez à votre nouveau compte Signatures de confiance.
Vérifiez que vous disposez du rôle Vérificateur d’identité pour Signatures de confiance.
Pour savoir comment gérer l’accès à l’aide du contrôle d’accès en fonction du rôle (RBAC), consultez le Tutoriel : Attribuer des rôles dans Signatures de confiance.
À partir du volet Vue d’ensemble du compte Signatures de confiance ou sous le menu de la ressource, sous Objets, sélectionnez Validations d’identité.
Sélectionnez Nouvelle identité, puis Publique ou Privée.
- La validation d’identité publique s’applique uniquement aux types de profil de certificat Confiance publique, Test de confiance publique, Enclave VBS.
- La validation d’identité privée s’applique uniquement aux types de profil de certificat Confiance privée et Stratégie CI de confiance privée.
Sur Validation d’une nouvelle identité, fournissez les informations suivantes :
Champs Détails Nom de l’organisation Pour la validation d’identité publique, fournissez l’entité commerciale juridique à laquelle le certificat sera émis. Pour la validation d’identité privée, la valeur correspond par défaut au nom de votre locataire Microsoft Entra. (Type d’identité privée uniquement) Unité organisationnelle Entrez les informations pertinentes. URL du site web Entrez le site web qui appartient à l’entité commerciale légale. Adresse de messagerie principale Entrez l’adresse e-mail associée à l’entité commerciale légale en cours de validation. Dans le cadre du processus de validation d’identité, un lien de vérification est envoyé à cette adresse e-mail et le lien expire en sept jours. Assurez-vous que l’adresse e-mail peut recevoir des e-mails (comportant des liens) provenant d’adresses e-mail externes. E-mail secondaire Cette adresse e-mail doit être différente de l’adresse e-mail principale. Pour les organisations, le domaine doit correspondre à l’adresse e-mail fournie dans l’adresse e-mail principale. Assurez-vous que l’adresse e-mail peut recevoir des e-mails provenant d’adresses e-mail externes comportant des liens. Identificateur commercial Entrez un identificateur commercial pour l’entité commerciale juridique. ID de vendeur S’applique uniquement aux clients Microsoft Store. Recherchez votre ID de vendeur sur le portail de l’Espace partenaires. Rue, ville, pays, état, code postal Entrez l’adresse commerciale de l’entité commerciale juridique. Sélectionnez Aperçu de l’objet du certificat pour afficher un aperçu des informations affichées dans le certificat.
Sélectionnez J’accepte les conditions d’utilisation de Microsoft pour les services de signature approuvée. Vous pouvez télécharger les Conditions d’utilisation pour les consulter ou les enregistrer.
Cliquez sur le bouton Créer.
Lorsque la création de la requête est réussie, l’état de la requête de validation d’identité passe à En cours.
Si des documents supplémentaires sont requis, un e-mail est envoyé et l’état de la requête passe à Action requise.
Une fois le processus de validation d’identité terminé, l’état de la requête change et un e-mail est envoyé avec l’état de la requête mis à jour :
- Terminé si le processus est terminé avec succès.
- Échoué si le processus n’est pas terminé avec succès.
Informations importantes sur la validation d’identité publique
| Spécifications | Détails |
|---|---|
| Intégration | À ce stade, Signatures de confiance ne peut intégrer que les entités commerciales juridiques qui ont un historique fiscal vérifiable sur trois ans ou plus. Pour un processus d’intégration plus rapide, assurez-vous que les enregistrements publics pour l’entité commerciale juridique en cours de validation sont à jour. |
| Exactitude | Assurez-vous de fournir les informations correctes à la validation d’identité publique. Si vous devez apporter des modifications après sa création, vous devez effectuer une nouvelle requête de validation d’identité. Cette modification affecte les certificats associés utilisés pour la signature. |
| Échec de la vérification de l’e-mail | En cas d’échec de la vérification de l’e-mail, vous devez lancer une nouvelle requête de validation d’identité. |
| État de la validation d’identité | Vous êtes averti par e-mail de toute mise à jour de l’état de la validation d’identité. Vous pouvez également vérifier à tout moment l’état dans le portail Azure. |
| Temps de traitement | Le traitement de votre requête de validation d’identité prend de 1 à 7 jours ouvrables (éventuellement plus longtemps si nous devons vous demander plus de documentation). |
| Documentation supplémentaire | Si nous avons besoin de documents supplémentaires pour traiter la requête de validation d’identité, vous êtes averti par e-mail. Vous pouvez charger les documents sur le Portail Azure. L’e-mail de demande de documentation contient des informations sur les exigences de taille de fichier. Vérifiez que tous les documents que vous fournissez sont les plus récents. - Tous les documents soumis doivent être émis au cours des 12 mois précédents ou avec une date d’expiration qui est une date ultérieure d’au moins deux mois. - S’il n’est pas possible de fournir une documentation supplémentaire, mettez à jour vos informations de compte afin qu’elles correspondent à des documents juridiques déjà fournis ou à vos détails officiels d’inscription de l’entreprise. - Lors de la fourniture d’un document commercial officiel, tel que le formulaire d’inscription d’entreprise, la charte commerciale ou les articles d’incorporation qui indiquent le nom et l’adresse de la société tel qu’il est fourni au moment de la création de la demande de validation d’identité. - Vérifiez que l’inscription de domaine ou la facture de domaine à partir de l’inscription ou du renouvellement répertorie le nom d’entité/contact et le domaine tel qu’il est mentionné sur la demande. |
Créer un profil de certificat
Une ressource de profil de certificat est le conteneur logique des certificats qui vous sont émis pour la signature.
Contraintes d’affectation de noms pour les profils de certificat
Les noms de profil de certificat sont soumis à des contraintes.
Le nom d’un profil de certificat doit :
- Contenir entre 5 et 100 caractères alphanumériques.
- Commencer par une lettre, finir par une lettre ou un chiffre et ne pas contenir pas de traits d’union consécutifs.
- Être unique dans le compte.
Le nom d’un profil de certificat :
- Est dans la même région Azure que le compte, par héritage par défaut.
- Ne respecte pas la casse (ABC est identique à abc).
Pour créer un profil de certificat sur le Portail Azure :
Sur le Portail Azure, accédez à votre nouveau compte Signatures de confiance.
Dans le volet Vue d’ensemble du compte Signatures de confiance ou dans le menu de la ressource sous Objets, sélectionnez Profils de certificat.
Dans la barre de commandes, sélectionnez Créer, puis un type de profil de certificat.
Sur Créer un profil de certificat, fournissez les informations suivantes :
a. Pour Nom du profil de certificat, entrez un nom unique.
Pour plus d’informations, consultez Contraintes d’affectation de noms pour les profils de certificat.
La valeur de Type de certificat est renseignée automatiquement en fonction du type de profil de certificat que vous avez sélectionné.
b. Pour CN et O vérifiés, sélectionnez une validation d’identité qui doit être affichée sur le certificat.
Si l’adresse postale doit être affichée sur le certificat, cochez la case Inclure l’adresse postale.
Si le code postal doit être affiché sur le certificat, cochez la case Inclure le code postal.
Les valeurs des champs restants sont renseignées automatiquement en fonction de la sélection sous CN et O vérifiés.
L’Aperçu de l’objet du certificat généré affiche un aperçu du certificat à émettre.
Sélectionnez Créer.
Nettoyer les ressources
Pour supprimer des ressources Signatures de confiance à l’aide du Portail Azure :
Supprimer un profil de certificat
- Sur le Portail Azure, accédez à votre compte Signatures de confiance.
- Dans le volet Vue d’ensemble du compte Signatures de confiance ou dans le menu de la ressource sous Objets, sélectionnez Profils de certificat.
- Sous Profils de certificat, sélectionnez le profil de certificat que vous souhaitez supprimer.
- Dans la barre de commandes, sélectionnez Supprimer.
Remarque
Cette action interrompt toute signature associée au profil de certificat.
Créer un compte Signatures de confiance
- Connectez-vous au portail Azure.
- Dans la zone de recherche, entrez puis sélectionnez Comptes Signatures de confiance.
- Sous Comptes Signatures de confiance, sélectionnez le compte Signatures de confiance que vous souhaitez supprimer.
- Dans la barre de commandes, sélectionnez Supprimer.
Remarque
Cette action supprime tous les profils de certificat liés à ce compte. Tous les processus de signature associés aux profils de certificat s’arrêtent.
Contenu connexe
Dans ce guide de démarrage rapide, vous avez créé un compte Signatures de confiance, une requête de validation d’identité et un profil de certificat. Pour en savoir plus sur Signatures de confiance et commencer votre parcours de signature, consultez les articles suivants :
- En savoir plus sur les intégrations de signature.
- En savoir plus sur les modèles de confiance pris en charge par Signatures de confiance.
- En savoir plus sur la gestion des certificats.
- Vous avez besoin d’aide pour votre configuration :
- Contactez le Support Azure via le Portail Azure.
- Publiez votre requête sur Stack Overflow ou Microsoft Q&A, utilisez la balise : trusted-signing.
- Les problèmes de validation d’identité ne peuvent être résolus qu’avec Stack Overflow ou Microsoft Q&A.