你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

快速入门:设置受信任签名

  • 项目

受信任签名是 Microsoft 完全托管的端到端证书签名服务。 在本快速入门中,你将创建下面 3 个受信任签名资源来开始使用受信任签名:

  • 受信任签名帐户
  • 标识验证
  • 证书配置文件

可以使用 Azure 门户或 Azure CLI 扩展来创建和管理大多数受信任签名资源。 (只能在 Azure 门户中完成标识验证。无法使用 Azure CLI 完成标识验证。)本快速入门演示了操作方法。

先决条件

若要完成本快速入门,你需要:

注册 Trusted Signing 资源提供程序

在使用受信任签名之前,必须先注册受信任签名资源提供程序。

资源提供程序是提供 Azure 资源的服务。 使用 Azure 门户或 Azure CLI 注册受信任签名资源提供程序 Microsoft.CodeSigning

若要使用 Azure 门户注册受信任签名资源提供程序,请执行以下操作:

  1. 登录 Azure 门户

  2. 在搜索框中或“所有服务”下,选择“订阅”。

  3. 选择要在其中创建受信任签名资源的订阅。

  4. 在资源菜单的“设置”下,选择“资源提供程序”。

  5. 在资源提供程序列表中,选择“Microsoft.CodeSigning”。

    默认情况下,该资源提供程序的状态为“未注册”。

    显示查找订阅的 Microsoft.CodeSigning 资源提供程序的屏幕截图。

  6. 选择省略号,然后选择“注册”。

    显示 Microsoft.CodeSigning 资源提供程序已注册的屏幕截图。

    资源提供程序的状态更改为“已注册”。

创建受信任签名帐户

受信任签名帐户是保存标识验证和证书配置文件资源的逻辑容器。

支持受信任签名的 Azure 区域

只能在当前提供该服务的 Azure 区域中创建受信任签名资源。 下表列出了当前支持受信任签名资源的 Azure 区域:

区域 区域类字段 终结点 URI 值
美国东部 EastUS https://eus.codesigning.azure.net
美国西部 美国西部 https://wus.codesigning.azure.net
美国中西部 WestCentralUS https://wcus.codesigning.azure.net
美国西部 2 美国西部 2 https://wus2.codesigning.azure.net
北欧 NorthEurope https://neu.codesigning.azure.net
西欧 西欧 https://weu.codesigning.azure.net

受信任签名帐户的命名约束

受信任签名帐户名称具有一些约束。

受信任签名帐户名称必须:

  • 包含 3 到 24 个字母数字字符。
  • 全局唯一。
  • 以字母开头。
  • 以字母或数字结尾。
  • 不包含连续的连字符。

受信任签名帐户名称:

  • 不区分大小写(“ABC”和“abc”没有区别)。
  • 在以“one”开头时会被 Azure 资源管理器拒绝。

若要使用 Azure 门户创建受信任签名帐户,请执行以下操作:

  1. 登录 Azure 门户

  2. 搜索“受信任签名帐户”并将其选中。

    显示在 Azure 门户中搜索受信任签名帐户的屏幕截图。

  3. 在“受信任签名帐户”窗格上,选择“创建”。

  4. 对于“订阅”,请选择你的 Azure 订阅。

  5. 对于“资源组”,选择“新建”,然后输入资源组名称。

  6. 对于“帐户名称”,输入唯一的帐户名称。

    有关详细信息,请参阅受信任签名帐户的命名约束

  7. 对于“区域”,选择支持受信任签名的 Azure 区域。

  8. 对于“定价”,选择一个定价层。

  9. 选择“查看 + 创建”按钮。

    显示创建受信任签名帐户的屏幕截图。

  10. 成功创建受信任签名帐户后,选择“转到资源”。

创建标识验证请求

可填写请求表单,提供证书中必须包含的信息,完成自己的标识验证。 只能在 Azure 门户中完成标识验证。 无法使用 Azure CLI 完成标识验证。

注意

如果没有相应的角色,则无法创建标识验证请求。 如果 Azure 门户中菜单栏上的“新建标识”按钮灰显,请确保你具有“受信任签名标识验证者”角色,以便继续进行标识验证。

若要创建标识验证请求,请执行以下操作:

  1. 在 Azure 门户中,转到新的受信任签名帐户。

  2. 确认系统向你分配了“受信任签名标识验证者”角色。

    若要了解如何使用基于角色的访问控制 (RBAC) 管理访问权限,请参阅教程:在受信任签名中分配角色

  3. 在受信任签名帐户“概述”窗格或在资源菜单的“对象”下,选择“标识验证”。

  4. 选择“新建标识”,然后选择“公共”或“专用”。

    • 公共标识验证仅适用于以下证书配置文件类型:公共信任、公共信任测试、VBS Enclave。
    • 专用标识验证仅适用于以下证书配置文件类型:专用信任、专用信任 CI 策略。

  5. 在“新建标识验证”上,提供以下信息:

    字段 详细信息
    组织名称 对于公共标识验证,请提供要向其颁发证书的合法企业实体。 对于专用标识验证,该值默认为 Microsoft Entra 租户名称。
    (仅限专用标识类型)组织单位 输入相关信息。
    网站 URL 输入属于该合法企业实体的网站。
    主电子邮件地址 输入与正在进行验证的合法企业实体关联的电子邮件地址。 在标识验证过程中,验证链接将发送到此电子邮件地址,且该链接在七天内过期。 确保电子邮件地址可接收来自外部电子邮件地址的电子邮件(带有链接)。
    次要电子邮件地址 此电子邮件地址必须与主电子邮件地址不同。 对于组织,域必须与主电子邮件地址中提供的电子邮件地址匹配。 确保电子邮件地址可以接收来自外部电子邮件地址且带有链接的电子邮件。
    企业标识符 输入合法企业实体的企业标识符。
    卖家 ID 只适用于 Microsoft Store 客户。 在合作伙伴中心门户中查找卖家 ID。
    街道、城市、国家/地区、州、邮政编码 输入合法企业实体的企业地址。

  6. 选择“证书主题预览”,查看证书中显示的信息预览。

  7. 选择“我接受 Microsoft 的受信任签名服务使用条款”。 可以下载使用条款来查看或保存它们。

  8. 选择“创建”按钮。

  9. 成功创建请求后,标识验证请求状态将更改为“正在进行”。

  10. 如果需要更多文件,会发送一封电子邮件,并且请求状态将更改为“需要操作”。

  11. 标识验证过程完成后,请求状态将发生更改,并且会发送一封电子邮件,其中包含请求的更新状态:

  • 如果过程已成功完成,状态为“已完成”。
  • 如果过程未成功完成,状态为“失败”。

显示“新建标识验证”窗格中的“公共”选项的屏幕截图。

显示“新建标识验证”窗格中的“专用”选项的屏幕截图。

公共标识验证的重要信息

要求 详细信息
登记 目前,受信任签名只能加入具有至少三年可验证税务历史记录的合法企业实体。 为了更快完成加入过程,请确保已验证的合法企业实体的公共记录是最新的。
准确性 确保为公共标识验证提供正确信息。 如果需要在创建后进行任何更改,必须完成新的标识验证请求。 此更改会影响用于签名的关联证书。
电子邮件验证失败 如果电子邮件验证失败,必须发起新的标识验证请求。
标识验证状态 当标识验证状态更新时,你会收到电子邮件通知。 你还可以随时在 Azure 门户中检查状态。
处理时间 处理标识验证请求需要 1 到 7 个工作日(如果需要向你请求更多文档,可能需要更长时间)。
更多文档 如果我们需要更多文档来处理标识验证请求,我们会通过电子邮件通知你。 可以在 Azure 门户中上传文档。 文档请求电子邮件包含有关文件大小要求的信息。 确保提供的文档都是最新的。
- 提交的所有文档必须是在过去 12 个月内签发的,或者其有效期为至少两个月后的某未来日期。
- 如果无法提供其他文档,请更新帐户信息,以匹配已提供的任何法律文档或官方公司注册详细信息。
- 提供正式业务文档(如业务注册表单、商业宪章或合并条款)时,应在创建标识验证请求时提供公司名称和地址。
- 确保域注册或域发票从注册或续订中列出的实体/联系人姓名和域名与申请中的一致。

创建一份证书配置文件

证书配置文件资源是已颁发给你进行签名的证书的逻辑容器。

证书配置文件的命名约束

证书配置文件名称具有一些约束。

证书配置文件名称必须:

  • 包含 5 到 100 个字母数字字符。
  • 以字母开头,以字母或数字结尾,并且不包含连续的连字符。
  • 在帐户中唯一。

证书配置文件名称:

  • 在帐户所在的同一 Azure 区域中,默认继承。
  • 不区分大小写(“ABC”和“abc”没有区别)。

要在 Azure 门户中创建证书配置文件,请执行以下步骤:

  1. 在 Azure 门户中,转到新的受信任签名帐户。

  2. 在受信任签名帐户“概述”窗格或在资源菜单的“对象”下,选择“证书配置文件”。

  3. 在命令栏上,选择“创建”并选择证书配置文件类型。

    显示要从中选择的受信任签名证书配置文件类型的屏幕截图。

  4. 在“创建证书配置文件”中,提供以下信息:

    a. 对于“证书配置文件名称”,输入唯一名称。

    有关详细信息,请参阅证书配置文件的命名约束

    “证书类型”的值根据所选的证书配置文件类型自动填充。

    b. 对于“已验证的 CN 和 O”,选择必须在证书上显示的标识验证。

    • 如果证书上必须显示街道地址,请选中“包括街道地址”复选框。

    • 如果证书上必须显示邮政编码,请选中“包括邮政编码”复选框。

      剩余字段中的值根据“已验证的 CN 和 O”中的选定内容自动填充。

      生成的“证书使用者预览”会显示将颁发的证书预览。

  5. 选择创建

    显示“创建证书配置文件”窗格的屏幕截图。

清理资源

若要使用 Azure 门户删除受信任签名资源,请执行以下操作:

删除证书配置文件

  1. 在 Azure 门户中转到受信任签名帐户。
  2. 在受信任签名帐户“概述”窗格或在资源菜单的“对象”下,选择“证书配置文件”。
  3. 在“证书配置文件”中,选择要删除的证书配置文件。
  4. 在命令栏上,选择删除

注意

此操作会停止与证书配置文件相关的所有签名。

删除受信任签名帐户

  1. 登录 Azure 门户
  2. 在搜索框中,输入内容,然后选择“受信任签名帐户”。
  3. 在“受信任签名帐户”中,选择要删除的受信任签名帐户。
  4. 在命令栏上,选择删除

注意

此操作将删除链接到此帐户的所有证书配置文件。 与证书配置文件关联的所有签名过程都会停止。

相关内容

在本快速入门中,你创建了受信任签名帐户、标识验证请求和证书配置文件。 若要详细了解受信任签名并开启签名之旅,请参阅以下文章:

  • 详细了解签名集成
  • 详细了解受信任签名支持的信任模型
  • 详细了解证书管理
  • 在设置方面需要帮助:
    • 通过 Azure 门户联系 Azure 支持。
    • 在 Stack Overflow 或 Microsoft Q&A 上发布查询,使用标签:trusted-signing。
      • 只能通过 Stack Overflow 或 Microsoft Q&A 解决标识验证问题。