azure-devops - 如何使用Azure Key Vault中的证书/ key 对使用Azure Pipelines构建的代码进行签名？

Question

我们正在从本地构建服务器迁移到Azure Pipelines。我们生产“收缩包装”桌面软件，因此显然，我们需要在发布所有二进制文件之前对其进行签名。我们当前的构建基础架构使用GlobalSign的USB硬件令牌来做到这一点，但是显然，当我们进行云构建时，这是行不通的-可悲的是，云没有配备USB端口：D

现在，GlobalSign最近启动了advertising Azure Key Vault作为密钥存储选项，他们非常乐意将其出售给我们，但是我不确定我们如何将其实际与构建管道集成（或者确实如此）是否有可能）。

有人真的做过这项工作吗？

Answer 1

我一直在与Azure Key Vault和Azure Pipelines作战，以使我们的代码签名并获得成功。所以这就是我发现的。

至关重要的是，用于代码签名的扩展验证（EV）证书与“普通” SSL证书完全不同。可以根据需要任意导出标准的，这意味着您可以将其上传到Azure Pipelines并与标准的Microsoft Sign Tool一起使用。

但是，一旦将EV证书放入Azure Key Vault中，它就不会以任何通常的方式发出。您必须使用Azure Sign Tool发现的出色的Anodyne above从管道中调用它

将您的证书放入Key Vault。您可以使用任何喜欢的证书颁发机构来生成证书，只要它们了解您将需要EV证书，并且至关重要的是，它具有硬件安全模块（HSM），而不是具有物理USB密钥的证书。任何基于云的系统（例如Key Vault）都需要HSM版本。

要获得从外部访问此证书的权限，您可以follow this page，但是请注意，它错过了一步。因此，请先阅读该文档，然后阅读以下概述的步骤，以设置Key Vault：


打开Azure门户，转到Azure Active Directory区域，然后创建一个App registration：输入一个令人难忘的名称，忽略Redirect URI并保存。
转到您的特定Key Vault，然后依次为Access control (IAM)和Add role assignment。在select输入框中键入刚创建的应用程序的名称。还要选择一个Role，建议使用Reader，然后保存。
缺少的部分：仍在Key Vault中，单击Access policies菜单项。单击Add Access Policy并添加您的应用程序。 Certificate Permissions需要打勾Get。并且Key Permissions尽管您可能在此保管库中根本没有任何密钥，但仍需要具有Get和Sign。您会以为这两个将在证书烫发中...
返回到刚刚创建的应用程序。选择Certificates & secrets，然后选择上载证书（纯粹用于远程访问Key Vault的新证书）或创建client secret。如果是后者，请保留密码副本，您将不会再看到它！
在应用程序的Overview部分中将是Application (client) ID。这以及密码或证书将在稍后的管道任务中提供给Azure Sign Tool。


从Azure处理实际的代码签名需要许多步骤。以下内容适用于Microsoft托管的代理，尽管类似的问题将影响您拥有的任何私人代理。


Azure Sign Tool需要安装.NET Core SDK，但必须至少安装2.x版本，并且由于最新的.NET Core SDK是always used，因此这意味着只要Windows版本足够最新，则无需自己安装。您可以看到SDK is shipped with which Windows agent的哪个版本。

在撰写本文时，Azure Pipelines中的当前Hosted操作系统版本（也称为Default Hosted）是Windows Server 2012 R2。这还不够最新。要解决此问题，安装更新的.NET Core SDK会拖累每个版本，尽管安装可行，但调用Azure Sign Tool可能无法正常工作。似乎只能找到较旧版本的SDK，并引发以下错误：Unable to find an entry point named 'SignerSignEx3' in DLL 'mssign32'.

因此，最简单的方法是将您的构建更改为使用更高版本的OS映像。 Windows 2019就像一个魅力。无需安装任何版本的.NET Core。
然后创建命令行任务以安装Azure Sign Tool。您也可以使用.NET Core CLI任务，但是没有必要。在任务中，键入：

set DOTNET_SKIP_FIRST_TIME_EXPERIENCE=true
dotnet tool install --global AzureSignTool --version 2.0.17

自然使用您想要的任何版本。

DOTNET_SKIP_FIRST_TIME_EXPERIENCE环境变量不是严格必需的，但是设置它可以使速度大大提高（ see here for an explanation）。
最后，创建另一个命令行任务，然后键入您希望运行的Azure Sign Tool命令。在Windows上，如下所示，请注意使用 ^而不是 /作为行继续标记。自然，请参见 here for more parameter information：

AzureSignTool.exe sign -du "MY-URL" ^
  -kvu https://MY-VAULT-NAME.vault.azure.net ^
  -kvi CLIENT-ID-BIG-GUID ^
  -kvs CLIENT-PASSWORD ^
  -kvc MY-CERTIFICATE-NAME ^
  -tr http://timestamp.digicert.com ^
  -v ^
  $(System.DefaultWorkingDirectory)/Path/To/My/Setup/Exe

从理论上讲，您应该成功！签名工具的输出相当不错，通常可以将问题定位在哪里。