マシン構成パッケージへの署名方法

マシン構成カスタム ポリシーでは、SHA256 ハッシュを使用して、ポリシー パッケージが変更されていないことが検証されます。 必要に応じて、お客様は証明書を使ってパッケージに署名し、署名されたコンテンツのみを許可するようにマシン構成拡張機能を強制することもできます。

このシナリオを有効にするには、2 つのステップを実行する必要があります。 コマンドレットを実行してコンテンツ パッケージに署名し、コードが署名されていることを要求する必要があるようにマシンにタグを追加します。

コード署名証明書を使用した署名の検証

署名検証機能を使用するには、Protect-GuestConfigurationPackage コマンドレットを実行して、発行前にパッケージに署名します。 このコマンドレットには "コード署名" 証明書が必要です。 "コード署名" 証明書がない場合は、次のスクリプトを使用して、テスト目的で自己署名証明書を作成し、その例に従ってください。

Windows の署名の検証

# How to create a self sign cert and use it to sign Machine Configuration
# custom policy package

# Create Code signing cert
$codeSigningParams = @{
    Type          = 'CodeSigningCert'
    DnsName       = 'GCEncryptionCertificate'
    HashAlgorithm = 'SHA256'
}
$mycert = New-SelfSignedCertificate @codeSigningParams

# Export the certificates
$mypwd = ConvertTo-SecureString -String "Password1234" -Force -AsPlainText
$mycert | Export-PfxCertificate -FilePath C:\demo\GCPrivateKey.pfx -Password $mypwd
$mycert | Export-Certificate -FilePath "C:\demo\GCPublicKey.cer" -Force

# Import the certificate
$importParams = @{
    FilePath          = 'C:\demo\GCPrivateKey.pfx'
    Password          = $mypwd
    CertStoreLocation = 'Cert:\LocalMachine\My'
}
Import-PfxCertificate @importParams

# Sign the policy package
$certToSignThePackage = Get-ChildItem -Path cert:\LocalMachine\My |
    Where-Object { $_.Subject-eq "CN=GCEncryptionCertificate" }
$protectParams = @{
    Path        = 'C:\demo\AuditWindowsService.zip'
    Certificate = $certToSignThePackage
    Verbose     = $true
}
Protect-GuestConfigurationPackage @protectParams

Linux の署名の検証

# generate gpg key
gpg --gen-key

# export public key
gpg --output public.gpg --export <email-id-used-to-generate-gpg-key>

# export private key
gpg --output private.gpg --export-secret-key <email-id-used-to-generate-gpg-key>

# Sign linux policy package
Import-Module GuestConfiguration
$protectParams = @{
    Path              = './not_installed_application_linux.zip'
    PrivateGpgKeyPath = './private.gpg'
    PublicGpgKeyPath  = './public.gpg'
    Verbose           = $true
}
Protect-GuestConfigurationPackage

Protect-GuestConfigurationPackage コマンドレットのパラメーター:

• パス: マシン構成パッケージの完全なパス。
• Certificate: パッケージに署名するためのコード署名証明書。 このパラメーターは、Windows 用のコンテンツに署名する場合にのみサポートされます。

証明書の要件

マシンの構成エージェントにより、Windows マシンの場合は "信頼された発行元" に、Linux マシンの場合はパス /usr/local/share/ca-certificates/gc に、証明書の公開キーが存在していることが求められます。 署名されたコンテンツをノードで検証するには、カスタム ポリシーを適用する前に、マシンに証明書の公開キーをインストールします。 このプロセスは、VM 内で任意の方法を使うか、Azure Policy を使って、行うことができます。 証明書を使用してマシンをデプロイするには、テンプレートの例を使用できます。 Key Vault のアクセス ポリシーでは、デプロイ中にコンピューティング リソース プロバイダーが証明書にアクセスできるようにする必要があります。 詳しい手順については、Azure Resource Manager の仮想マシンの Key Vault を設定するに関する記事をご覧ください。

署名証明書から公開キーをエクスポートしてマシンにインポートする例を次に示します。

$Cert = Get-ChildItem -Path cert:\LocalMachine\My |
    Where-Object { $_.Subject-eq "CN=mycert3" } |
    Select-Object -First 1
$Cert | Export-Certificate -FilePath "$env:temp\DscPublicKey.cer" -Force

タグの要件

コンテンツを発行した後、コード署名が必要なすべての仮想マシンに、名前が GuestConfigPolicyCertificateValidation で値が enabled のタグを追加します。 Azure Policy を使用して大規模にタグを配信する方法については、タグのサンプルに関する記事を参照してください。 このタグを配置すると、New-GuestConfigurationPolicy コマンドレットを使って生成されるポリシー定義では、マシン構成拡張による要件が有効になります。

関連するコンテンツ

• GuestConfiguration モジュールを使用して、環境を大規模に管理するための Azure Policy の定義を作成する。
• Azure portal を使用してカスタム ポリシー定義を割り当てる。
• マシン構成のポリシー割り当てのコンプライアンスの詳細を確認する方法を学ぶ。