Tổng hợp Ký mã với Azure DevOps – SSL.com | Sen Tây Hồ

Hướng dẫn này giới thiệu về cách ký mã với Azure DevOps, sử dụng chứng chỉ được lưu trữ trong Azure Key Vault. Để làm theo các hướng dẫn này, bạn sẽ cần:

  • An Tài khoản Azure
  • A Dự án DevOps
  • A Kho chìa khóa
  • A chứng chỉ ký mã được cài đặt trong Key Vault của bạn. Bạn có thể:
    • Tạo một CSR và cài đặt chứng chỉ trong Key Vault or
    • Nhập chứng chỉ vào Key Vault

Đăng ký ứng dụng Azure

Trước tiên, bạn cần đăng ký một ứng dụng Azure mới để có thể kết nối với Key Vault của mình để ký.



  1. Đăng nhập vào Cổng thông tin Azure.Đăng nhập Azure
  2. Hướng đến Azure Active Directory. (Nhấp chuột Nhiều dịch vụ hơn nếu biểu tượng Azure Active Directory không hiển thị.)Azure Active Directory
  3. Nhấp chuột Đăng ký ứng dụng, ở cột bên trái.Đăng ký ứng dụng
  4. Nhấp chuột Đăng kí mới.Đăng kí mới
  5. Cung cấp cho ứng dụng của bạn một Họ tên Và nhấp vào Đăng ký cái nút. Để các cài đặt khác ở giá trị mặc định của chúng.Đăng ký một ứng dụng
  6. Ứng dụng mới của bạn đã được đăng ký. Sao chép và lưu giá trị được hiển thị cho ID ứng dụng (khách hàng), bởi vì bạn sẽ cần nó sau này.ID ứng dụng (khách hàng)

Tạo bí mật cho khách hàng

Tiếp theo, tạo một bí mật của khách hàng, sẽ đóng vai trò là thông tin đăng nhập khi ký.

  1. Nhấp chuột Chứng chỉ & bí mật trong menu bên tay trái.Chứng chỉ và Bí mật
  2. Nhấp chuột Bí mật khách hàng mới.Bí mật khách hàng mới
  3. Cung cấp cho khách hàng của bạn bí mật Mô tả, đặt thời hạn như mong muốn và nhấp vào Thêm .Thêm bí mật của khách hàng
  4. Sao chép Giá trị về bí mật khách hàng mới của bạn ngay và lưu nó ở một nơi an toàn. Lần tiếp theo trang được làm mới, giá trị này sẽ bị che và không thể khôi phục được.sao chép giá trị bí mật

Bật quyền truy cập trong Key Vault

Bây giờ, bạn sẽ cần bật quyền truy cập cho ứng dụng của mình trong Azure Key Vault.

  1. Điều hướng đến Key Vault chứa chứng chỉ bạn muốn sử dụng để ký và nhấp vào Chính sách truy cập liên kết.Chính sách truy cập
  2. Nhấp chuột Thêm chính sách truy cập.Chính sách truy cập
  3. Theo Quyền chính, cho phép Verify, Sign, Getvà List.Quyền chính
  4. Theo Quyền bí mật, cho phép Get và List.Quyền bí mật
  5. Theo Quyền chứng chỉ, cho phép Get và List.Quyền chứng chỉ
  6. Nhấn vào Không có lựa chọn nào liên kết, dưới Chọn chính, sau đó sử dụng trường tìm kiếm để định vị và chọn ứng dụng bạn đã tạo trong phần trước.Chọn chính
  7. Nhấn vào Chọn .Nút chọn
  8. Nhấn vào Thêm .Thêm nút
  9. Nhấp chuột Lưu.Lưu
  10. Chính sách truy cập của bạn đã được thiết lập.Chinh sach truy cập

Định cấu hình bản dựng DevOps

Bây giờ bạn có thể cấu hình bản dựng của mình. Mở dự án của bạn trong Azure DevOps.

Dự án Azure DevOps

Lưu trữ thông tin đăng nhập của ứng dụng dưới dạng các biến

Bạn có thể đưa trực tiếp ID ứng dụng và bí mật ứng dụng khách vào tệp đường dẫn YAML, nhưng sẽ an toàn hơn nếu bạn lưu trữ chúng dưới dạng các biến trong DevOps.

  1. Nhấp chuột Đường ống.Đường ống
  2. Nhấp chuột Thư viện.Thư viện
  3. Nhấp chuột + Nhóm biến.Thêm nhóm biến
  4. Đặt tên cho nhóm biến của bạn. Thêm tên
  5. Nhấp chuột Thêm.Thêm
  6. Nhập tên biến cho ID ứng dụng của bạn, sau đó dán giá trị vào. Nhấp vào khóa để mã hóa biến khi bạn hoàn tất.Biến ID ứng dụng
  7. Lặp lại quy trình để thêm một biến cho bí mật khách hàng của bạn.Biến bí mật của khách hàng
  8. Nhấp chuột Lưu.Lưu
  9. Liên kết nhóm biến trong đường dẫn của bạn. (thay VARIABLE-GROUP bằng tên của nhóm biến thực tế của bạn.)biến: – nhóm: ‘VARIABLE-GROUP’

Thêm bước đường ống để cài đặt công cụ đăng nhập Azure

Công cụ dấu hiệu Azure là một tiện ích nguồn mở cung cấp SignTool chức năng cho các chứng chỉ và khóa được lưu trữ trong Azure Key Vault. Thêm bước sau vào đường dẫn của bạn để cài đặt Azure Sign Tool:

– task: DotNetCoreCLI @ 2 input: command: ‘custom’ custom: các đối số ‘tool’: ‘install -global azuresigntool’ displayName: Install AzureSignTool

Thêm lệnh công cụ dấu hiệu Azure vào đường ống

  1. Bây giờ bạn có thể thêm một nhiệm vụ để ký mã của bạn vào đường dẫn. Bạn sẽ cần những thông tin sau:
    • trên màn hình URI Key Vault (có sẵn trong Azure Portal):URI Key Vault
    • Tên thân thiện của chứng chỉ của bạn trong Key Vault:Tên chứng chỉ
    • trên màn hình ID ứng dụngBí mật khách hàng tên biến:tên biến
  2. Thêm lệnh gọi Công cụ Dấu hiệu Azure vào đường dẫn của bạn. Thay thế các giá trị hiển thị trong CHỮ HOA bằng tất cả các giá trị thực của bạn:- task: CmdLine @ 2 input: script: AzureSignTool sign -kvu “KEY-VAULT-URI” -kvi “$ (APPLICATION-ID-VAR)” -kvs “$ (CLIENT-SECRET-VAR)” -kvc CERTIFICATE-NAME -tr “http://ts.ssl.com” -td sha256 “FILE-TO-SIGN” displayName: Sign Code
  3. Bạn sẽ thấy đầu ra như thế này nếu việc ký thành công:thông tin: sentayho.com.vnram [0] => Tệp: D: a 1 s x64 Debug sentayho.com.vn Tệp ký D: a 1 s x64 Debug sentayho.com.vn Thông tin: AzureSignTool. Chương trình [0] => Tệp: D: a 1 s x64 Debug sentayho.com.vn Đã hoàn tất quá trình ký thành công cho tệp D: a 1 s x64 Debug sentayho.com.vn.