信頼された署名を使用して CI ポリシーに署名する
この記事では、信頼された署名サービスを使用して、新しいコード整合性 (CI) ポリシーに署名する方法について説明します。
前提条件
この記事の手順を完了するには、次のものが必要です。
- 信頼済み署名アカウント、ID 検証、証明書プロファイル。
- 信頼された署名証明書プロファイル署名者ロールの個人またはグループの割り当て。
- Windows に Azure PowerShell がインストールされています。
- Az.CodeSigning モジュールがダウンロードされています。
CI ポリシーに署名する
PowerShell 7 を開きます。
必要に応じて、次の例のようなmetadata.json ファイルを作成 できます: (
"Endpoint"URI 値は、これらのリソースを設定する際に信頼できる署名アカウントと証明書プロファイルを作成したリージョンに合わせた URI である必要があります。){ "Endpoint":"https://xxx.codesigning.azure.net/", "CodeSigningAccountName":"<Trusted Signing Account Name>", "CertificateProfileName":"<Certificate Profile Name>" }信頼ストアに追加する ルート証明書 を取得します:
Get-AzCodeSigningRootCert -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cermetadata.json ファイルを使用している場合は、代わりに次のコマンドを実行します:
Get-AzCodeSigningRootCert -MetadataFilePath C:\temp\metadata.json https://xxx.codesigning.azure.net/ -Destination c:\temp\root.cerポリシーに挿入する 拡張キー使用法 (EKU) を取得するには、次の手順を実行します:
Get-AzCodeSigningCustomerEku -AccountName TestAccount -ProfileName TestCertProfile -EndpointUrl https://xxx.codesigning.azure.net/metadata.json ファイルを使用している場合は、代わりに次のコマンドを実行します:
Get-AzCodeSigningCustomerEku -MetadataFilePath C:\temp\metadata.jsonポリシーに署名するには、
invokeコマンドを実行します:Invoke-AzCodeSigningCIPolicySigning -accountName TestAccount -profileName TestCertProfile -endpointurl "https://xxx.codesigning.azure.net/" -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.commetadata.json ファイルを使用している場合は、代わりに次のコマンドを実行します:
Invoke-AzCodeSigningCIPolicySigning -MetadataFilePath C:\temp\metadata.json -Path C:\Temp\defaultpolicy.bin -Destination C:\Temp\defaultpolicy_signed.bin -TimeStamperUrl: http://timestamp.acs.microsoft.com
CI ポリシーを作成してデプロイする
CI ポリシーを作成してデプロイする手順については、次の記事を参照してください: