Podpisywanie pakietów za pomocą usługi Azure Key Vault

W programie Visual Studio 2022 w wersji 17.8 (wersja zapoznawcza 2 lub nowsza) można podpisać pakiety aplikacji platformy UWP i aplikacji klasycznych przy użyciu certyfikatu z usługi Azure Key Vault. To narzędzie wysyła skrót pakietu aplikacji do usługi Azure Key Vault celem podpisania kryptograficznego wybranym certyfikatem. Podpisany skrót jest następnie zwracany i dołączany do pakietu lokalnie.

Wymagania wstępne

• Konto platformy Azure. Jeśli nie masz jeszcze konta platformy Azure, zacznij tutaj.
• Usługa Azure Key Vault. Aby uzyskać więcej informacji, zobacz Tworzenie usługi Key Vault.
• Prawidłowy certyfikat podpisywania pakietu zaimportowany do usługi Azure Key Vault. Domyślny certyfikat wygenerowany przez usługę Azure Key Vault nie będzie działać na potrzeby podpisywania kodu. Aby uzyskać szczegółowe informacje na temat tworzenia certyfikatu podpisywania pakietów, zobacz Tworzenie certyfikatu na potrzeby podpisywania pakietów.

Importowanie certyfikatu do usługi Key Vault

Dodawanie certyfikatu do usługi Key Vault jest bardzo proste. W tym przykładzie dodamy prawidłowy certyfikat podpisywania kodu platformy UWP o nazwie UwpSigningCert.pfx.

1. Na stronach właściwości usługi Key Vault wybierz pozycję Certyfikaty.
2. Kliknij pozycję Wygeneruj/zaimportuj.
3. Na ekranie Tworzenie certyfikatu wybierz następujące wartości:
   • Metoda tworzenia certyfikatu: Importowanie
   • Nazwa certyfikatu: UwpSigningCert
   • Przekaż plik certyfikatu: UwpSigningCert.pfx
   • Odszyfruj certyfikat: jeśli certyfikat jest chroniony hasłem, podaj go w polu Hasło .
4. Kliknij pozycję Utwórz.

Konfigurowanie zasad dostępu dla usługi Key Vault

Możesz kontrolować, kto ma dostęp do zawartości usługi Key Vault, korzystając z zasad dostępu. Zasady dostępu usługi Key Vault przyznają uprawnienia oddzielnie kluczom, wpisom tajnym i certyfikatom. Możesz udzielić użytkownikowi dostępu tylko do kluczy, a nie do wpisów tajnych. Uprawnienia dostępu do kluczy, wpisów tajnych i certyfikatów są zarządzane na poziomie magazynu. Aby uzyskać więcej informacji, zobacz Zabezpieczenia usługi Azure Key Vault.

1. Na stronach właściwości usługi Key Vault wybierz pozycję Zasady dostępu.
2. Wybierz pozycję + Dodaj zasady dostępu.
3. Kliknij listę rozwijaną Uprawnienia certyfikatu i zaznacz pola wyboru Pobierz i Lista w obszarze Operacje zarządzania certyfikatami.
4. Kliknij na rozwijaną listę Tajne uprawnienia i zaznacz pola Pobierz i Wyświetl listę w obszarze Operacje zarządzania tajnymi informacjami.
5. Kliknij Wybierz podmiot, wyszukaj użytkownika, do którego udzielasz dostępu, a następnie kliknij Wybierz.
6. Kliknij przycisk Dodaj.
7. Pamiętaj, aby zapisać zmiany, klikając pozycję Zapisz.

Wybieranie certyfikatu z usługi Key Vault w programie Visual Studio

Kreator Tworzenia pakietów aplikacji w programie Visual Studio umożliwia wybranie certyfikatu, który będzie używany do podpisywania pakietu aplikacji. Certyfikat podpisywania pakietu można wybrać za pośrednictwem usługi Azure Key Vault. Musisz podać identyfikator URI usługi Key Vault, który zawiera certyfikat, a twoje konto Microsoft uwierzytelnione w programie Visual Studio musi mieć odpowiednie uprawnienia dostępu do niego.

1. Otwórz projekt aplikacji platformy UWP lub projekt tworzenia pakietów aplikacji klasycznych systemu Windows w programie Visual Studio.
2. Wybierz Publikuj ->Pakiet ->Utwórz pakiety aplikacji... aby otworzyć kreatora Tworzenia pakietów aplikacji.
3. Na stronie Wybieranie metody dystrybucji wybierz pozycję Ładowanie bezpośrednie.
4. Na stronie Wybieranie metody podpisywania kliknij pozycję Wybierz z usługi Azure Key Vault....
5. Po wyświetleniu okna dialogowego Wybieranie certyfikatu z usługi Azure Key Vault użyj selektora konta, aby wybrać konto, dla którego skonfigurowano zasady dostępu.
6. Wprowadź identyfikator URI usługi Key Vault. Identyfikator URI można znaleźć na stronie Przegląd usługi Key Vault i jest identyfikowany przez nazwę DNS.
7. Kliknij przycisk Wyświetl metadane .
8. Po zakończeniu ładowania certyfikatów wybierz odpowiedni certyfikat z listy (na przykład UwpSigningCert).
9. Kliknij przycisk OK.

Odszyfrowywanie certyfikatu przy użyciu hasła z usługi Azure Key Vault

Jeśli używasz lokalnego certyfikatu chronionego hasłem (pfx) do podpisania pakietu aplikacji, zarządzanie hasłem używanym do jego odszyfrowania może być trudne. Podczas importowania certyfikatu w kreatorze Tworzenia pakietów aplikacji zostanie wyświetlony monit o ręczne wprowadzenie hasła. Alternatywnie istnieje możliwość wybrania hasła z usługi Azure Key Vault.

1. Otwórz projekt aplikacji platformy UWP lub projekt tworzenia pakietów aplikacji klasycznych systemu Windows w programie Visual Studio.
2. Wybierz Publikuj ->Pakiet ->Utwórz pakiety aplikacji... aby otworzyć kreatora Tworzenia pakietów aplikacji.
3. Na stronie Wybieranie metody dystrybucji wybierz pozycję Ładowanie bezpośrednie.
4. Na stronie Wybieranie metody podpisywania kliknij pozycję Wybierz z pliku...
5. Po wyświetleniu okna dialogowego Certyfikat jest chroniony hasłem kliknij pozycję Wybierz hasło z usługi Key Vault.
6. Po wyświetleniu okna dialogowego Wybieranie hasła z usługi Azure Key Vault użyj selektora konta, aby wybrać konto, dla którego skonfigurowano zasady dostępu.
7. Wprowadź identyfikator URI usługi Key Vault. Identyfikator URI można znaleźć na stronie Przegląd usługi Key Vault i jest identyfikowany przez nazwę DNS.
8. Kliknij przycisk Wyświetl metadane .
9. Po zakończeniu ładowania haseł wybierz odpowiednią z listy (na przykład UwpSigningCertPassword).
10. Kliknij przycisk OK.

Włączanie podpisywania w scenariuszach ciągłej integracji/ciągłego wdrażania

Aby włączyć scenariusze ciągłej integracji/ciągłego wdrażania, należy skonfigurować potok tak, aby używał DefaultAzureCredential do uwierzytelnienia w Azure Key Vault. DefaultAzureCredential spróbuje użyć tożsamości agenta pipeline w celu dostępu do Key Vault, jeśli ma odpowiednie uprawnienia. Alternatywnie można określić jednostkę usługi lub tożsamość zarządzaną do użycia na potrzeby uwierzytelniania.