Partager via


Démarrage rapide : configurer Signatures de confiance

Signatures de confiance est un service de signature de certificats de bout en bout complètement managé par Microsoft. Dans ce guide de démarrage rapide, vous créez les trois ressources Signatures de confiance suivantes pour commencer à utiliser Signatures de confiance :

  • Un compte Signatures de confiance
  • Une validation d’identité
  • Un profil de certificat

Vous pouvez utiliser le Portail Azure ou une extension Azure CLI pour créer et gérer la plupart de vos ressources Signatures de confiance. (Vous pouvez effectuer la validation d’identité uniquement sur le Portail Azure. Vous ne pouvez pas effectuer la validation d’identité à l’aide d’Azure CLI.) Ce guide de démarrage rapide vous montre comment.

Prérequis

Pour effectuer ce démarrage rapide, les éléments suivants sont requis :

Inscrire le fournisseur de ressources de signature approuvée

Avant d’utiliser Signatures de confiance, vous devez inscrire le fournisseur de ressources Signatures de confiance.

Un fournisseur de ressources est un service qui fournit des ressources Azure. Utilisez le Portail Azure ou Azure CLI pour inscrire le fournisseur de ressources Signatures de confiance Microsoft.CodeSigning.

Pour inscrire un fournisseur de ressources Signatures de confiance en utilisant le Portail Azure :

  1. Connectez-vous au portail Azure.

  2. Dans la barre de recherche ou sous Tous les services, sélectionnez Abonnements.

  3. Sélectionnez l’abonnement où vous souhaitez créer des ressources Signatures de confiance.

  4. Dans le menu de ressources, sous Paramètres, sélectionnez Fournisseurs de ressources.

  5. Dans la liste des fournisseurs de ressources, sélectionnez Microsoft.CodeSigning.

    Par défaut, l’état du fournisseur de ressources est NotRegistered.

    Capture d’écran montrant la recherche du fournisseur de ressources Microsoft.CodeSigning pour un abonnement.

  6. Sélectionnez les points de suspension, puis Inscrire.

    Capture d’écran montrant le fournisseur de ressources Microsoft.CodeSigning comme inscrit.

    L’état du fournisseur de ressources passe à Registered.

Créer un compte de signature approuvée

Un compte Signatures de confiance est un conteneur logique qui détient les ressources de validation d’identité et de profil de certificat.

Régions Azure qui prennent en charge Signatures de confiance

Vous pouvez créer des ressources Signatures de confiance uniquement dans les régions Azure dans lesquelles le service est actuellement disponible. Le tableau suivant répertorie les régions Azure qui prennent actuellement en charge les ressources Signatures de confiance :

Région Champs de classe de région Valeur d’URI du point de terminaison
USA Est USAEst https://eus.codesigning.azure.net
USA Ouest WestUS https://wus.codesigning.azure.net
Centre-USA Ouest USACentreOuest https://wcus.codesigning.azure.net
USA Ouest 2 WestUS2 https://wus2.codesigning.azure.net
Europe Nord NorthEurope https://neu.codesigning.azure.net
Europe Ouest WestEurope https://weu.codesigning.azure.net

Contraintes d’affectation de noms pour les comptes Signatures de confiance

Les noms des comptes Signatures de confiance sont soumis à des contraintes.

Le nom d’un compte Signatures de confiance doit :

  • Contenir entre 3 et 24 caractères alphanumériques.
  • Être globalement unique.
  • Commencer par une lettre.
  • Doit se terminer par une lettre ou un chiffre.
  • Ne pas contenir des traits d’union consécutifs.

Le nom d’un compte Signatures de confiance :

  • Ne respecte pas la casse (ABC est identique à abc).
  • Est rejeté par Azure Resource Manager s’il commence par « one ».

Pour créer un compte Signatures de confiance à l’aide du Portail Azure :

  1. Connectez-vous au portail Azure.

  2. Recherchez, puis sélectionnez Comptes Signatures de confiance.

    Capture d’écran montrant la recherche de Comptes Signatures de confiance sur le Portail Azure.

  3. Dans le volet Comptes Signatures de confiance, sélectionnez Créer.

  4. Pour Abonnement, sélectionnez votre abonnement Azure.

  5. Pour Groupe de ressources, sélectionnez Créer, puis entrez un nom de groupe de ressources.

  6. Pour Nom du compte, entrez un nom de compte unique.

    Pour plus d’informations, consultez Contraintes d’affectation de noms pour les comptes Signatures de confiance.

  7. Pour Région, sélectionnez une région Azure qui prend en charge Signatures de confiance.

  8. Pour Tarification, sélectionnez un niveau tarifaire.

  9. Sélectionnez le bouton Vérifier + Créer.

    Capture d’écran montrant la création d’un compte Signatures de confiance.

  10. Après avoir réussi la création de votre compte Signatures de confiance, sélectionnez Accéder à la ressource.

Créer une requête de validation d’identité

Vous pouvez effectuer votre propre validation d’identité en remplissant le formulaire de requête avec les informations qui doivent être incluses dans le certificat. La validation d’identité peut se faire uniquement sur le Portail Azure. Vous ne pouvez pas effectuer la validation d’identité à l’aide d’Azure CLI.

Remarque

Vous ne pouvez pas créer de requête de validation d’identité si vous n’avez pas le rôle approprié. Si le bouton Nouvelle identité de la barre de menus est grisé sur le Portail Azure, vérifiez que vous disposez du rôle Vérificateur d’identité Signatures de confiance afin de poursuivre la validation d’identité.

Pour créer une demande de validation d’identité pour une organisation :

  1. Sur le Portail Azure, accédez à votre nouveau compte Signatures de confiance.

  2. Vérifiez que vous disposez du rôle Vérificateur d’identité pour Signatures de confiance.

    Pour savoir comment gérer l’accès en utilisant le contrôle d’accès en fonction du rôle (RBAC), consultez Tutoriel : Attribuer des rôles dans Signatures de confiance.

  3. À partir du volet Vue d’ensemble du compte Signatures de confiance ou sous le menu de la ressource, sous Objets, sélectionnez Validations d’identité.

  4. Sélectionnez Nouvelle identité, puis Publique ou Privée.

    • La validation d’identité publique s’applique uniquement aux types de profil de certificat Confiance publique, Test de confiance publique, Enclave VBS.
    • La validation d’identité privée s’applique uniquement aux types de profil de certificat Confiance privée et Stratégie CI de confiance privée.
  5. Sur Validation d’une nouvelle identité, fournissez les informations suivantes :

    Champs Détails
    Nom de l’organisation Pour la validation d’identité publique, fournissez l’entité commerciale juridique pour laquelle le certificat sera émis. Pour la validation d’identité privée, la valeur correspond par défaut au nom de votre locataire Microsoft Entra.
    (Type d’identité privée uniquement) Unité organisationnelle Entrez les informations pertinentes.
    URL du site web Entrez le site web qui appartient à l’entité commerciale légale.
    Adresse de messagerie principale Entrez l’adresse e-mail associée à l’entité commerciale légale en cours de validation. Dans le cadre du processus de validation d’identité, un lien de vérification est envoyé à cette adresse e-mail et le lien expire en sept jours. Assurez-vous que l’adresse e-mail peut recevoir des e-mails (comportant des liens) provenant d’adresses e-mail externes.
    E-mail secondaire Cette adresse e-mail doit être différente de l’adresse e-mail principale. Pour les organisations, le domaine doit correspondre à l’adresse e-mail fournie dans l’adresse e-mail principale. Assurez-vous que l’adresse e-mail peut recevoir des e-mails provenant d’adresses e-mail externes comportant des liens.
    Identificateur commercial Entrez un identificateur commercial pour l’entité commerciale juridique.
    ID de vendeur S’applique uniquement aux clients Microsoft Store. Recherchez votre ID de vendeur sur le portail de l’Espace partenaires.
    Rue, ville, pays, état, code postal Entrez l’adresse commerciale de l’entité commerciale juridique.
  6. Sélectionnez Aperçu de l’objet du certificat pour afficher un aperçu des informations affichées dans le certificat.

  7. Sélectionnez J’accepte les conditions d’utilisation de Microsoft pour les services de signature approuvée. Vous pouvez télécharger les Conditions d’utilisation pour les consulter ou les enregistrer.

  8. Cliquez sur le bouton Créer.

  9. Lorsque la création de la requête est réussie, l’état de la requête de validation d’identité passe à En cours.

  10. Si des documents supplémentaires sont requis, un e-mail est envoyé et l’état de la requête passe à Action requise.

  11. Une fois le processus de validation d’identité terminé, l’état de la requête change et un e-mail est envoyé avec l’état de la requête mis à jour :

  • Terminé si le processus est terminé avec succès.
  • Échoué si le processus n’est pas terminé avec succès.

Capture d’écran montrant l’option Publique dans le volet Nouvelle validation d’identité.

Capture d’écran montrant l’option Privée dans le volet Nouvelle validation d’identité.

Informations importantes sur la validation d’identité publique

Spécifications Détails
Intégration À ce stade, Signatures de confiance ne peut intégrer que les entités commerciales juridiques qui ont un historique fiscal vérifiable sur trois ans ou plus. Pour un processus d’intégration plus rapide, assurez-vous que les enregistrements publics pour l’entité commerciale juridique en cours de validation sont à jour.
Exactitude Assurez-vous de fournir les informations correctes à la validation d’identité publique. Si vous devez apporter des modifications après sa création, vous devez effectuer une nouvelle demande de validation d’identité. Cette modification affecte les certificats associés utilisés pour la signature.
Échec de la vérification de l’e-mail En cas d’échec de la vérification de l’e-mail, vous devez lancer une nouvelle requête de validation d’identité.
État de la validation d’identité Vous êtes averti par e-mail de toute mise à jour de l’état de la validation d’identité. Vous pouvez également vérifier à tout moment l’état dans le portail Azure.
Temps de traitement Le traitement de votre requête de validation d’identité prend de 1 à 7 jours ouvrables (éventuellement plus longtemps si nous devons vous demander plus de documentation).
Documentation supplémentaire Si nous avons besoin de documents supplémentaires pour traiter la requête de validation d’identité, vous êtes averti par e-mail. Vous pouvez charger les documents sur le Portail Azure. L’e-mail de demande de documentation contient des informations sur les exigences de taille de fichier. Vérifiez que tous les documents que vous fournissez sont les plus récents.
- Tous les documents soumis doivent être émis au cours des 12 mois précédents ou avec une date d’expiration qui est une date ultérieure d’au moins deux mois.
- S’il n’est pas possible de fournir de la documentation supplémentaire, mettez à jour les informations de votre compte afin qu’elles correspondent aux documents juridiques déjà fournis ou aux détails de l’inscription officielle de votre ’entreprise.
- Lors de la fourniture d’un document commercial officiel, tel que le formulaire d’inscription d’entreprise, la charte commerciale ou les articles d’incorporation qui indiquent le nom et l’adresse de la société tel qu’il est fourni au moment de la création de la demande de validation d’identité.
- Vérifiez que l’inscription de domaine ou la facture de domaine à partir de l’inscription ou du renouvellement répertorie le nom d’entité/contact et le domaine tel qu’il est mentionné sur la demande.

Créer un profil de certificat

Une ressource de profil de certificat est le conteneur logique des certificats qui vous sont émis pour la signature.

Contraintes d’affectation de noms pour les profils de certificat

Les noms de profil de certificat sont soumis à des contraintes.

Le nom d’un profil de certificat doit :

  • Contenir entre 5 et 100 caractères alphanumériques.
  • Commencer par une lettre, finir par une lettre ou un chiffre et ne pas contenir pas de traits d’union consécutifs.
  • Être unique dans le compte.

Le nom d’un profil de certificat :

  • Est dans la même région Azure que le compte, par héritage par défaut.
  • Ne respecte pas la casse (ABC est identique à abc).

Pour créer un profil de certificat sur le Portail Azure :

  1. Sur le Portail Azure, accédez à votre nouveau compte Signatures de confiance.

  2. Dans le volet Vue d’ensemble du compte Signatures de confiance ou dans le menu de la ressource sous Objets, sélectionnez Profils de certificat.

  3. Dans la barre de commandes, sélectionnez Créer, puis un type de profil de certificat.

    Capture d’écran montrant les types de profils de certificat Signatures de confiance au choix.

  4. Sur Créer un profil de certificat, fournissez les informations suivantes :

    a. Pour Nom du profil de certificat, entrez un nom unique.

    Pour plus d’informations, consultez Contraintes d’affectation de noms pour les profils de certificat.

    La valeur de Type de certificat est renseignée automatiquement en fonction du type de profil de certificat que vous avez sélectionné.

    b. Pour CN et O vérifiés, sélectionnez une validation d’identité qui doit être affichée sur le certificat.

    • Si l’adresse postale doit être affichée sur le certificat, cochez la case Inclure l’adresse postale.

    • Si le code postal doit être affiché sur le certificat, cochez la case Inclure le code postal.

      Les valeurs des champs restants sont renseignées automatiquement en fonction de la sélection sous CN et O vérifiés.

      L’Aperçu de l’objet du certificat généré affiche un aperçu du certificat à émettre.

  5. Sélectionnez Créer.

    Capture d’écran montrant le volet Créer un profil de certificat.

Nettoyer les ressources

Pour supprimer des ressources Signatures de confiance à l’aide du Portail Azure :

Supprimer un profil de certificat

  1. Sur le Portail Azure, accédez à votre compte Signatures de confiance.
  2. Dans le volet Vue d’ensemble du compte Signatures de confiance ou dans le menu de la ressource sous Objets, sélectionnez Profils de certificat.
  3. Sous Profils de certificat, sélectionnez le profil de certificat que vous souhaitez supprimer.
  4. Dans la barre de commandes, sélectionnez Supprimer.

Remarque

Cette action interrompt toute signature associée au profil de certificat.

Créer un compte Signatures de confiance

  1. Connectez-vous au portail Azure.
  2. Dans la zone de recherche, entrez puis sélectionnez Comptes Signatures de confiance.
  3. Sous Comptes Signatures de confiance, sélectionnez le compte Signatures de confiance que vous souhaitez supprimer.
  4. Dans la barre de commandes, sélectionnez Supprimer.

Remarque

Cette action supprime tous les profils de certificat liés à ce compte. Tous les processus de signature associés aux profils de certificat s’arrêtent.

Dans ce guide de démarrage rapide, vous avez créé un compte Signatures de confiance, une requête de validation d’identité et un profil de certificat. Pour en savoir plus sur Signatures de confiance et commencer votre parcours de signature, consultez les articles suivants :