Szybki start: konfigurowanie zaufanego podpisywania

Aby zarejestrować zaufanego dostawcę zasobów podpisywania przy użyciu witryny Azure Portal:

1. Zaloguj się w witrynie Azure Portal.

2. W polu wyszukiwania lub w obszarze Wszystkie usługi wybierz pozycję Subskrypcje.

3. Wybierz subskrypcję, w której chcesz utworzyć zasoby zaufanego podpisywania.

4. W menu zasobów w obszarze Ustawienia wybierz pozycję Dostawcy zasobów.

5. Na liście dostawców zasobów wybierz pozycję Microsoft.CodeSigning.

   Domyślnie stan dostawcy zasobów to NotRegistered.

6. Wybierz wielokropek, a następnie wybierz opcję Zarejestruj.

   

   Stan dostawcy zasobów zmienia się na Zarejestrowane.

Aby zarejestrować zaufanego dostawcę zasobów podpisywania przy użyciu interfejsu wiersza polecenia platformy Azure:

1. Jeśli używasz lokalnej instalacji interfejsu wiersza polecenia platformy Azure, zaloguj się, używając polecenia az login.

2. Aby zakończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie przy użyciu interfejsu wiersza polecenia platformy Azure.

3. Po wyświetleniu pierwszego monitu o użycie zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure.

   Aby uzyskać więcej informacji, zobacz Używanie rozszerzeń z interfejsem wiersza polecenia platformy Azure.

   Aby uzyskać więcej informacji na temat rozszerzenia Azure CLI do zaufanego podpisywania, zobacz Zaufana usługa podpisywania.

4. Aby wyświetlić wersje interfejsu wiersza polecenia platformy Azure i zainstalowane biblioteki zależne, użyj az version polecenia .

5. Aby przeprowadzić uaktualnienie do najnowszych wersji interfejsu wiersza polecenia platformy Azure i bibliotek zależnych, uruchom następujące polecenie:

   az upgrade [--all {false, true}] [--allow-preview {false, true}] [--yes]
   

6. Aby ustawić domyślny identyfikator subskrypcji, użyj az account set -s <subscription ID> polecenia .

7. Aby zarejestrować zaufanego dostawcę zasobów podpisywania, użyj następującego polecenia:

   az provider register --namespace "Microsoft.CodeSigning"
   

8. Sprawdź rejestrację:

   az provider show --namespace "Microsoft.CodeSigning"
   

9. Aby dodać rozszerzenie do zaufanego podpisywania, użyj następującego polecenia:

   az extension add --name trustedsigning
   

Aby utworzyć konto zaufanego podpisywania przy użyciu witryny Azure Portal:

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz „Zaufane Konta Podpisywania”.

   

3. W okienku Kont zaufanego podpisywania wybierz Utwórz.

4. W polu Subskrypcja wybierz subskrypcję platformy Azure.

5. W obszarze Grupa zasobów wybierz pozycję Utwórz nową, a następnie wprowadź nazwę grupy zasobów.

6. W polu Nazwa konta wprowadź unikatową nazwę konta.

   Aby uzyskać więcej informacji, zobacz Ograniczenia nazewnictwa dla zaufanych kont do podpisywania.

7. W polu Region wybierz region platformy Azure, który obsługuje zaufane podpisywanie.

8. W obszarze Cennik wybierz warstwę cenową.

9. Wybierz przycisk Przejrzyj i utwórz.

   

10. Po pomyślnym utworzeniu konta Zaufanego Podpisywania wybierz Przejdź do zasobu.

Aby utworzyć konto zaufanego podpisu przy użyciu Azure CLI:

1. Utwórz grupę zasobów przy użyciu następującego polecenia. Jeśli zdecydujesz się użyć istniejącej grupy zasobów, pomiń ten krok.

   az group create --name MyResourceGroup --location EastUS

2. Utwórz unikatowe konto zaufanego podpisywania przy użyciu następującego polecenia.

   Aby uzyskać więcej informacji, zobacz Ograniczenia nazewnictwa dla zaufanych kont do podpisywania.

   Aby utworzyć konto Zaufanego Podpisywania z podstawowym SKU:

  az trustedsigning create -n MyAccount -l eastus -g MyResourceGroup --sku Basic

Aby utworzyć konto do zaufanego podpisywania, które ma SKU Premium:

az trustedsigning create -n MyAccount -l eastus -g MyResourceGroup --sku Premium

3. Zweryfikuj konto zaufanego podpisywania przy użyciu:

az trustedsigning show -g MyResourceGroup -n MyAccount` command.

W poniższej tabeli wymieniono przydatne polecenia do użycia podczas tworzenia zaufanego konta podpisywania:

Aby utworzyć żądanie weryfikacji tożsamości dla organizacji lub administratora bazy danych:

1. W witrynie Azure Portal przejdź do nowego zaufanego konta podpisywania.

2. Upewnij się, że masz przypisaną rolę Weryfikatora zaufanego podpisywania tożsamości.

   Aby dowiedzieć się, jak zarządzać dostępem przy użyciu kontroli dostępu opartej na rolach (RBAC), zobacz Samouczek: przypisywanie ról w zaufanym podpisywaniu.

3. W okienku Przegląd konta Zaufanego Podpisywania lub w menu zasobów w obszarze Obiekty, wybierz pozycję Walidacje tożsamości.

4. Wybierz pozycję Nowa tożsamość, a następnie wybierz pozycję Publiczna lub Prywatna.

   • Weryfikacja tożsamości publicznej ma zastosowanie tylko do tych typów profilów certyfikatów: Public Trust, Public Trust Test, VBS Enclave.
   • Weryfikacja tożsamości prywatnej ma zastosowanie tylko do tych typów profilów certyfikatów: Zaufanie prywatne, Prywatne Zasady Zaufania CI.

5. W obszarze Nowa weryfikacja tożsamości podaj następujące informacje:

   Pola	Szczegóły
   Nazwa organizacji	W przypadku weryfikacji tożsamości publicznej podaj jednostkę biznesową, do której wystawiono certyfikat. W przypadku prywatnej weryfikacji tożsamości, wartość jest domyślnie ustawiona na nazwę dzierżawcy Microsoft Entra.
   (Tylko typ tożsamości prywatnej) Jednostka organizacyjna	Wprowadź odpowiednie informacje.
   Adres URL witryny sieci Web	Wprowadź stronę internetową należącą do podmiotu prawnego.
   Podstawowa wiadomość e-mail	Wprowadź adres e-mail pojedynczej osoby (listy dystrybucyjne nie są akceptowane) skojarzone z podmiotem biznesowym poddawanym walidacji. Część procesu weryfikacji tożsamości, link weryfikacyjny jest wysyłany na ten adres e-mail i link wygasa w ciągu siedmiu dni. Upewnij się, że adres e-mail może odbierać wiadomości e-mail (z linkami) z zewnętrznych adresów e-mail.
   Pomocnicza poczta e-mail	Ten adres e-mail musi być inny niż podstawowy adres e-mail (listy dystrybucyjne są akceptowane). W przypadku organizacji domena musi być zgodna z adresem e-mail podanym na podstawowym adresie e-mail. Upewnij się, że adres e-mail może odbierać wiadomości e-mail z zewnętrznych adresów e-mail, które zawierają linki.
   Identyfikator firmy	Wprowadź identyfikator biznesowy podmiotu prawnego.
   Identyfikator sprzedawcy	Dotyczy tylko klientów ze Sklepu Microsoft. Znajdź swój identyfikator sprzedawcy w portalu Centrum partnerskiego.
   Ulica, Miasto, Kraj/Region, Województwo, Kod pocztowy	Wprowadź adres biznesowy podmiotu prawnego.
   Imię	Wprowadź imię osoby reprezentującej organizację, która będzie przeprowadzać weryfikację tożsamości indywidualnej. Użyj dokładnej nazwy wyświetlanej w dokumencie identyfikacji wystawionym przez instytucje rządowe na potrzeby procesu weryfikacji tożsamości.
   Nazwisko	Wprowadź nazwisko osoby reprezentującej organizację. Ta osoba przeprowadza weryfikację tożsamości indywidualnej. Użyj dokładnej nazwy wyświetlanej w dokumencie identyfikacji wystawionym przez instytucje rządowe na potrzeby procesu weryfikacji tożsamości.

6. Wybierz Podgląd podmiotu certyfikatu, aby zobaczyć podgląd informacji wyświetlanych w certyfikacie.

7. Zaznacz przycisk Utwórz.

8. Po pomyślnym utworzeniu żądania stan żądania weryfikacji tożsamości zmieni się na W toku.

9. Gdy stan zmieni się na Akcja wymagana, postępuj zgodnie z instrukcjami od kroku 9 w zakładce „Weryfikacja tożsamości – indywidualny deweloper” powyżej.

10. Link do weryfikacji tożsamości indywidualnej jest również wysyłany za pośrednictwem poczty e-mail na podstawowy adres e-mail.

11. Po pomyślnym zakończeniu weryfikacji tożsamości indywidualnej stan zmieni się z powrotem na W toku , a proces walidacji będzie kontynuowany.

12. Jeśli wymagana jest więcej dokumentów, zostanie wysłana wiadomość e-mail, a stan żądania zmieni się na Wymagana akcja.

13. Po zakończeniu procesu weryfikacji tożsamości stan żądania zmieni się, a wiadomość e-mail zostanie wysłana ze zaktualizowanym stanem żądania:

    • Ukończono , jeśli proces został ukończony pomyślnie.
    • Niepowodzenie, jeśli proces nie został ukończony pomyślnie.

    

    

Ważne informacje dotyczące weryfikacji tożsamości publicznej

Aby utworzyć żądanie weryfikacji tożsamości indywidualnej dla indywidualnego dewelopera:

1. W witrynie Azure Portal przejdź do nowego zaufanego konta podpisywania.

2. Upewnij się, że masz przypisaną rolę Weryfikatora zaufanego podpisywania tożsamości.

   Aby dowiedzieć się, jak zarządzać dostępem przy użyciu kontroli dostępu opartej na rolach (RBAC), zobacz Samouczek: przypisywanie ról w zaufanym podpisywaniu.

3. W okienku Przegląd konta Zaufanego Podpisywania lub w menu zasobów w obszarze Obiekty, wybierz pozycję Walidacje tożsamości.

4. Wybierz pozycję Organizacja, z listy rozwijanej wybierz pozycję Osoba , a następnie wybierz pozycję Publiczna.

   • Weryfikacja tożsamości publicznej ma zastosowanie do następujących typów profilów certyfikatów: Public Trust, Public Trust Test, VBS Enclave.
   • Weryfikacja tożsamości prywatnej dotyczy tylko organizacji.

5. W obszarze Nowa weryfikacja tożsamości podaj następujące informacje:

   Pola	Szczegóły
   Imię	Użyj dokładnej nazwy wyświetlanej w dokumencie identyfikacji wystawionym przez instytucje rządowe na potrzeby procesu weryfikacji tożsamości.
   Nazwisko	Użyj dokładnej nazwy wyświetlanej w dokumencie identyfikacji wystawionym przez instytucje rządowe na potrzeby procesu weryfikacji tożsamości.
   Podstawowa wiadomość e-mail	Wprowadź adres e-mail, który ma otrzymać link Weryfikacja tożsamości. Pamiętaj, aby użyć tego samego adresu e-mail podczas logowania się do konta Microsoft, aby uzyskać dostęp do linku Weryfikacja tożsamości.
   Ulica, Miasto, Kraj/Region, Województwo, Kod pocztowy	Wprowadź adres wyświetlany w dokumencie identyfikacyjnym lub rachunku użyteczności publicznej lub rachunku bankowym. Miasto, województwo i kraj/region z adresu podanego tutaj jest wyświetlane na certyfikacie.

6. Podgląd podmiotu certyfikatu przedstawia podgląd informacji wyświetlanych w certyfikacie.

   • Adres e-mail i adres ulicy nie są uwzględniane w certyfikacie.

7. Zaznacz przycisk Utwórz.

8. Po pomyślnym utworzeniu żądania stan żądania weryfikacji tożsamości zmieni się na W toku.

9. Gdy stan zmieni się na Wymagana akcja. Kliknij swoją nazwę, a panel otworzy się po prawej stronie. Kliknij link w obszarze "Ukończ weryfikację tutaj".

10. Postępuj zgodnie z linkiem, aby ukończyć proces weryfikacji tożsamości. Użyj adresu e-mail podanego podczas tworzenia żądania. Wprowadź poświadczenia, gdy zostaniesz o to poproszony, a nastąpi przejście do następnego ekranu.

11. Wybierz Zweryfikuj się tutaj za pośrednictwem naszych zaufanych weryfikatorów tożsamości.

    

12. Utwórz zweryfikowane poświadczenia przy użyciu stron zaufanych partnerów. W poniższych krokach przedstawiono przykładowy przewodnik. Używa zaufanego partnera: AU10TIX. Nastąpi przeniesienie do strony internetowej innej firmy.

    1. Wybierz pozycję Zacznijmy.

    

13. Wprowadź podstawowy adres e-mail z żądania tutaj.

    

    AU10TIX wysyła weryfikację wiadomości e-mail w wiadomości e-mail, która zawiera kod PIN.

    1. Sprawdź adres e-mail weryfikacyjny i wprowadź kod PIN, aby zweryfikować konto e-mail.

    

14. Wprowadź numer telefonu po wyświetleniu monitu na następnym ekranie.

    

15. Wybierz Start.

    

16. Użyj aparatu urządzenia przenośnego, aby zeskanować kod QR. Nie zamykaj tego ekranu w przeglądarce.

    

17. Na urządzeniu przenośnym wybierz pozycję Uruchom. Postępuj zgodnie z krokami, aby ukończyć proces i przedstawić odpowiednią dokumentację, gdy zostaniesz o to poproszony.

18. Po zakończeniu procesu Au10TIX na urządzeniu przenośnym wybierz pozycję Otwórz aplikację Authenticator.

    

19. Teraz po powrocie do przeglądarki przeskanuj kod QR z urządzenia przenośnego. Nie zamykaj przeglądarki.

    

20. Wybierz pozycję Dodaj , aby dodać zweryfikowany identyfikator do aplikacji Microsoft Authenticator.

    

21. Na ekranie przeglądarki zostanie wyświetlony komunikat Pokaż swój zweryfikowany identyfikator. Zeskanuj kod QR.

22. Wybierz pozycję Weryfikowalne poświadczenie, aby udostępnić je Zaufanemu Podpisywaniu.

23. Wybierz Udostępnij, aby udostępnić poświadczenia Trusted Signing.

24. Aby pomyślnie zakończyć, ekran przeglądarki na urządzeniu niemobilnym zostanie zaktualizowany do: Weryfikacja powiodła się .

    Zrzut ekranu przedstawiający sukces niezależnych projektów na onevet.

25. Zaktualizowanie stanu weryfikacji tożsamości w witrynie Azure Portal trwa kilka minut. Aby pomyślnie zweryfikować identyfikator zweryfikowany, status w portalu Azure zmieni się na Ukończono.

    

Ważne informacje dotyczące weryfikacji tożsamości publicznej dla indywidualnych deweloperów

1. Minimalne wymagania dotyczące systemów operacyjnych mobilnych i obsługiwanych przeglądarek:

   

   

2. Typy zaakceptowanych identyfikatorów:

   • Identyfikatory wydane przez instytucje rządowe, takie jak paszporty, prawa jazdy lub karty identyfikacyjne.
   • Dowody tożsamości ze zdjęciem (lub karta ubezpieczenia społecznego USA).
   • Oficjalne identyfikatory wydane przez rząd, takie jak paszport, prawo jazdy lub identyfikator stanu.
   • Nie przesyłaj prywatnych identyfikatorów, takich jak karty biblioteki, identyfikatory szkolne, karty członkostwa w klubie itp.

3. Widoczność/Niskie światło/Jasne światło:

   • Nie używaj lampy błyskowej.
   • Nie umieszczaj identyfikatora w bezpośrednim świetle słonecznym.
   • Przytrzymaj aparat lub urządzenie przenośne na stałym poziomie podczas robienia zdjęcia.

4. Najlepsze rozwiązania dotyczące uzupełniającej dokumentacji:

   • Rachunki za usługi użyteczności publicznej: Elektryczność, woda, gaz lub rachunki telefoniczne (powinny być ostatnie, zazwyczaj w ciągu ostatnich trzech miesięcy).
   • Oświadczenia bankowe: oficjalne oświadczenia banków lub firm kart kredytowych, które pokazują adres osoby fizycznej.
   • Dokument POA musi zawierać adres, nazwę i datę wyświetlaną na stronie głównej (pierwszej stronie), dlatego wiele stron nie jest wymaganych.

5. Ogólne najlepsze rozwiązania:

   • Pojedynczy obraz na plik, jeśli jest dwustronny, utwórz jeden plik na każdą stronę.
   • Dokumenty odręczne nie są akceptowane.
   • Nie przycinaj obrazu (wycięte rogi, chybienia części) spróbuj mieć marginesy po wszystkich stronach przechwyconego obrazu przed przechwyceniem.
   • Nie używaj programu Photoshop ani innego oprogramowania do edycji; nie zmieniaj dokumentu w żaden sposób.
   • Nie używaj lampy błyskowej.
   • Na płaskiej powierzchni wykonaj zdjęcie bezpośrednio nad dokumentem.
   • Unikaj kolorowego i hałaśliwego tła.
   • Nie zasłaniaj dokumentu tożsamości (bez palców zakrywających jego część).
   • Użyj obrazów kolorów nie mniejszych niż 200 DPI. Idealny rozmiar obrazu to 500 Kb. AU10TIX najlepszym rozwiązaniem jest akceptowanie obrazów z rozdzielczością 400 DPI i nowszymi.
   • Minimalny próg rozmiaru obrazu dla wyniku OK wynosi 600 W X 370 H pikseli.
   • Zaakceptowane typy plików: .bmp .jpg .gif .tif .pdf.
   • Użytkownicy nie mogą przekazywać obrazów mniejszych niż 30 kb lub większych niż 5 MB.

Aby utworzyć profil certyfikatu w witrynie Azure Portal:

1. W witrynie Azure Portal przejdź do nowego zaufanego konta podpisywania.

2. Na panelu Przegląd konta Zaufanego podpisywania lub w menu zasobów pod Obiekty wybierz pozycję Profile certyfikatów.

3. Na pasku poleceń wybierz pozycję Utwórz i wybierz typ profilu certyfikatu.

   

4. W obszarze Tworzenie profilu certyfikatu podaj następujące informacje:

   a. W polu Nazwa profilu certyfikatu wprowadź unikatową nazwę.

   Aby uzyskać więcej informacji, zobacz Ograniczenia nazewnictwa dla profilów certyfikatów.

   Wartość typu certyfikatu jest wypełniana automatycznie na podstawie wybranego typu profilu certyfikatu.

   b. Dla Zweryfikowana CN i O, wybierz weryfikację tożsamości, która musi być wyświetlana na certyfikacie.

   • Jeśli adres ulicy musi być wyświetlany w certyfikacie, zaznacz pole wyboru Dołącz adres ulicy.

   • Jeśli kod pocztowy musi być wyświetlany na certyfikacie, zaznacz pole wyboru Dołącz kod pocztowy.

     Wartości pozostałych pól są automatycznie wypełniane na podstawie wyboru dla Verified CN and O.

     Wygenerowany Podgląd podmiotu certyfikatu pokazuje, jak będzie wyglądał certyfikat, który zostanie wystawiony.

5. Wybierz pozycję Utwórz.

   

Wymagania wstępne

Potrzebny jest identyfikator weryfikacji tożsamości dla jednostki, dla której jest tworzony profil certyfikatu. Wykonaj następujące kroki, aby znaleźć identyfikator weryfikacji tożsamości w portalu Azure.

1. W portalu Azure przejdź do swojego konta Zaufanego Podpisywania.

2. W okienku Przegląd konta Zaufanego Podpisywania lub w menu zasobów w obszarze Obiekty, wybierz pozycję Walidacje tożsamości.

3. Wybierz hiperlink dla odpowiedniej jednostki. W okienku Weryfikacja tożsamości możesz skopiować wartość identyfikatora weryfikacji tożsamości.

   

Aby utworzyć profil certyfikatu przy użyciu interfejsu wiersza polecenia platformy Azure:

1. Utwórz profil certyfikatu przy użyciu następującego polecenia:

az trustedsigning certificate-profile create -g MyResourceGroup --a
   account-name MyAccount -n MyProfile --profile-type PublicTrust --identity-validation-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Aby uzyskać więcej informacji, zobacz Ograniczenia nazewnictwa dla profilów certyfikatów.

2. Utwórz profil certyfikatu zawierający opcjonalne pola (adres ulicy lub kod pocztowy) w nazwie podmiotu certyfikatu przy użyciu następującego polecenia:

az trustedsigning certificate-profile create -g MyResourceGroup --account-name MyAccount -n MyProfile --profile-type PublicTrust --identity-validation-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx --include-street true

3. Sprawdź, czy profil certyfikatu został pomyślnie utworzony przy użyciu następującego polecenia:

az trustedsigning certificate-profile show -g myRG --account-name MyAccount -n  MyProfile

W poniższej tabeli wymieniono przydatne polecenia do użycia podczas tworzenia profilu certyfikatu przy użyciu interfejsu wiersza polecenia platformy Azure:

Aby usunąć zasoby zaufanego podpisywania za pomocą portalu Azure:

Usuwanie profilu certyfikatu

1. W portalu Azure przejdź do swojego konta Zaufanego Podpisywania.
2. Na panelu Przegląd konta Zaufanego podpisywania lub w menu zasobów pod Obiekty wybierz pozycję Profile certyfikatów.
3. W obszarze Profile certyfikatów wybierz profil certyfikatu, który chcesz usunąć.
4. Na pasku poleceń wybierz Usuń.

Usuwanie zaufanego konta podpisywania

1. Zaloguj się w witrynie Azure Portal.
2. W polu wyszukiwania wprowadź, a następnie wybierz pozycję Zaufane Konta Podpisywania.
3. Na zaufanych kontach podpisywania wybierz zaufane konto podpisywania, które chcesz usunąć.
4. Na pasku poleceń wybierz Usuń.

Aby usunąć zasoby zaufanego podpisywania przy użyciu interfejsu wiersza polecenia platformy Azure:

Usuwanie profilu certyfikatu

Aby usunąć profil certyfikatu zaufanego podpisywania, uruchom następujące polecenie:

az trustedsigning certificate-profile delete -g MyResourceGroup --account-name MyAccount -n MyProfile

Usuwanie zaufanego konta podpisywania

Aby usunąć zasoby zaufanego podpisywania, możesz użyć interfejsu wiersza polecenia platformy Azure.

Aby usunąć konto zaufanego podpisywania, uruchom następujące polecenie:

az trustedsigning delete -n MyAccount -g MyResourceGroup