Inicio rápido: Configuración de la firma de confianza
La firma de confianza es un servicio de firma de certificados de un extremo a otro de Microsoft totalmente administrado. En este inicio rápido, creará los siguientes tres recursos de firma de confianza para empezar a usar la firma de confianza:
- Una cuenta de firma de confianza
- Validación de identidades
- Un perfil de certificado
Puede usar Azure Portal o una extensión de la CLI de Azure para crear y administrar la mayoría de los recursos de firma de confianza. ( Puede completar la validación de identidades solo en Azure portal. No se puede completar la validación de identidad mediante la CLI de Azure). En este inicio rápido se muestra cómo hacerlo.
Requisitos previos
Para completar este inicio rápido necesita instalar:
Identificador de inquilino de Microsoft Entra
Para obtener más información, vea Crear un inquilino de Microsoft Entra.
Suscripción a Azure.
Si aún no tiene una, vea Creación de una suscripción de Azure antes de empezar.
Registro del proveedor de recursos de firma de confianza
Antes de usar la firma de confianza, debe registrar el proveedor de recursos de firma de confianza.
Un proveedor de recursos es un servicio que proporciona recursos de Azure. Use Azure Portal o la CLI de Azure para registrar el proveedor de recursos de firma de confianza Microsoft.CodeSigning.
Para registrar un proveedor de recursos de firma de confianza mediante Azure Portal:
Inicie sesión en Azure Portal.
En el cuadro de búsqueda o en Todos los servicios, seleccione Suscripciones.
Seleccione la suscripción en la que desea crear recursos de firma de confianza.
En el menú de recursos de Configuración, seleccione Proveedores de recursos.
En la lista de proveedores de recursos, seleccione Microsoft.CodeSigning.
De forma predeterminada, el estado del proveedor de recursos es NotRegistered.
Seleccione los puntos suspensivos y, a continuación, seleccione Registrar.
El estado del proveedor de recursos cambia a Registrado.
Creación de una cuenta de firma de confianza
Una cuenta de firma de confianza es un contenedor lógico que contiene recursos de perfil de certificado y validación de identidades.
Regiones de Azure que admiten la firma de confianza
Puede crear recursos de firma de confianza solo en regiones de Azure en las que el servicio está disponible actualmente. En la tabla siguiente se enumeran las regiones de Azure que admiten actualmente recursos de firma de confianza:
| Region | Campos de clase de región | Valor del URI del punto de conexión |
|---|---|---|
| Este de EE. UU. | EastUS | https://eus.codesigning.azure.net |
| Oeste de EE. UU. | WestUS | https://wus.codesigning.azure.net |
| Centro-Oeste de EE. UU. | WestCentralUS | https://wcus.codesigning.azure.net |
| Oeste de EE. UU. 2 | WestUS2 | https://wus2.codesigning.azure.net |
| Norte de Europa | Norte de Europa | https://neu.codesigning.azure.net |
| Oeste de Europa | Oeste de Europa | https://weu.codesigning.azure.net |
Restricciones de nomenclatura para cuentas de firma de confianza
Los nombres de cuenta de firma de confianza tienen algunas restricciones.
Un nombre de cuenta de firma de confianza debe:
- Contienen de 3 a 24 caracteres alfanuméricos.
- Ser único globalmente.
- Comience con una letra.
- Termine con una letra o un número.
- No contienen guiones consecutivos.
Un nombre de cuenta de firma de confianza es:
- No distingue mayúsculas de minúsculas (ABC es igual que abc).
- Rechazado por Azure Resource Manager si comienza por "uno".
Para crear una cuenta de firma de confianza mediante Azure Portal:
Inicie sesión en Azure Portal.
Busque y seleccione Cuentas de firma de confianza.
En el panel Cuentas de firma de confianza, seleccione Crear.
En Suscripción, seleccione su suscripción de Azure.
Para Grupo de recursos, seleccione Crear nuevo, y a continuación, escriba un nombre de grupo de recursos.
En Nombre de cuenta, escriba un nombre de cuenta único.
Para obtener más información, vea Restricciones de nomenclatura para cuentas de firma de confianza.
Para Región, seleccione una región de Azure que admita la firma de confianza.
Para Precios, seleccione un plan de tarifa.
Seleccione el botón Revisar y Crear.
Después de crear correctamente la cuenta de firma de confianza, seleccione Ir al recurso.
Creación de una solicitud de validación de identidad
Puede completar su propia validación de identidad rellenando el formulario de solicitud con la información que debe incluirse en el certificado. La validación de identidad solo se puede completar en Azure Portal. No se puede completar la validación de identidad mediante la CLI de Azure.
Nota:
No se puede crear una solicitud de validación de identidad si no se le asigna el rol adecuado. Si el botón Nueva identidad de la barra de menú aparece atenuado en Azure Portal, asegúrese de que tiene asignado el rol Comprobador de identidad de firma de confianza para continuar con la validación de identidades.
Para crear una solicitud de validación de identidad:
En Azure Portal, vaya a la nueva cuenta de firma de confianza.
Confirme que tiene asignado el rol Comprobador de identidad de firma de confianza.
Para obtener información sobre cómo administrar el acceso mediante el control de acceso basado en rol (RBAC), vea Tutorial: Asignación de roles en firma de confianza.
En el panel Información general de la cuenta de firma de confianza o en el menú de recursos de Objetos, seleccione Validaciones de identidades.
Seleccione Nueva identidad y, después, seleccione Público o Privado.
- La validación de identidad pública solo se aplica a estos tipos de perfil de certificado: Confianza pública, prueba de confianza pública, enclave de VBS.
- La validación de identidad privada solo se aplica a estos tipos de perfil de certificado: Confianza privada, Directiva de CI de confianza privada.
En Nueva validación de identidad, proporcione la siguiente información:
Fields Detalles Nombre de la organización Para la validación de identidad pública, proporcione la entidad empresarial legal a la que se emitirá el certificado. Para la validación de identidad privada, el valor predeterminado es el nombre del inquilino de Microsoft Entra. (Solo para el tipo de identidad privada) Unidad organizativa Escriba la información pertinente. url del sitio web Escriba el sitio web principal que pertenece a la entidad empresarial legal. Correo electrónico principal Escriba la dirección de correo electrónico principal de la organización. Se envía un vínculo de verificación a esta dirección de correo electrónico para comprobar la dirección de correo electrónico. Asegúrese de que la dirección de correo electrónico puede recibir correos electrónicos de direcciones de correo electrónico externas que tienen vínculos. El vínculo de verificación expira en siete días. Correo electrónico secundario Esta dirección de correo electrónico debe ser diferente de la dirección de correo electrónico principal. En el caso de las organizaciones, el dominio debe coincidir con la dirección de correo electrónico proporcionada en la dirección de correo electrónico principal. Asegúrese de que la dirección de correo electrónico puede recibir correos electrónicos de direcciones de correo electrónico externas que tienen vínculos. Identificador de negocio Escriba un identificador de negocio para la entidad empresarial legal. Identificador de vendedor Solo se aplica a los clientes de Microsoft Store. Busque el identificador de vendedor en el portal del Centro de partners. Calle, Ciudad, País, Estado, Código postal Escriba la dirección comercial de la entidad empresarial legal. Seleccione versión preliminar del firmante del certificado para ver la vista previa de la información que aparece en el certificado.
Seleccione acepto los términos de uso de Microsoft para los servicios de firma de confianza. Puede descargar los Términos de uso para revisarlos o guardarlos.
Seleccione el botón Crear.
Cuando la solicitud se crea correctamente, el estado de la solicitud de validación de identidad cambia a En curso.
Si se requieren más documentos, se envía un correo electrónico y el estado de la solicitud cambia a Acción requerida.
Cuando finalice el proceso de validación de identidad, el estado de la solicitud cambia y se envía un correo electrónico con el estado actualizado de la solicitud:
- Completado si el proceso se ha completado correctamente.
- Error si el proceso no se ha completado correctamente.
Información importante para la validación de identidades públicas
| Requisitos | Detalles |
|---|---|
| Incorporación | La firma de confianza en este momento solo puede incorporar entidades empresariales legales que tengan un historial fiscal verificable de tres o más años. Para un proceso de incorporación más rápido, asegúrese de que los registros públicos de la entidad empresarial legal que está validado están actualizados. |
| Exactitud | Asegúrese de proporcionar la información correcta para la validación de identidad pública. Si necesita realizar cambios después de crearlo, debe completar una nueva solicitud de validación de identidad. Este cambio afecta a los certificados asociados que se usan para firmar. |
| Más documentación | Si necesitamos más documentación para procesar la solicitud de validación de identidad, se le notificará por correo electrónico. Puede cargar los documentos en Azure Portal. El correo electrónico de solicitud de documentación contiene información sobre los requisitos de tamaño de archivo. Asegúrese de que los documentos que proporcione sean los más actuales. |
| Comprobación de correo electrónico con error | Si se produce un error en la comprobación del correo electrónico, debe iniciar una nueva solicitud de validación de identidad. |
| Estado de validación de identidad | Recibirá una notificación por correo electrónico cuando haya una actualización del estado de validación de identidad. También puede comprobar el estado en Azure Portal en cualquier momento. |
| Tiempo de procesamiento | El procesamiento de la solicitud de validación de identidad tarda de 1 a 7 días laborables (posiblemente más largo si necesitamos solicitar más documentación de usted). |
Creación de un perfil de certificado
Un recurso de perfil de certificado es el contenedor lógico de los certificados que se le emiten para firmar.
Restricciones de nomenclatura para perfiles de certificado
Los nombres de perfil de certificado tienen algunas restricciones.
Un nombre de perfil de certificado debe:
- Contienen de 5 a 100 caracteres alfanuméricos.
- Comience con una letra, termine con una letra o un número y no contenga guiones consecutivos.
- Ser único dentro de la cuenta.
Un nombre de perfil de certificado es:
- En la misma región de Azure que la cuenta, de forma predeterminada, la herencia.
- No distingue mayúsculas de minúsculas (ABC es igual que abc).
Para crear un perfil de certificado en Azure Portal:
En Azure Portal, vaya a la nueva cuenta de firma de confianza.
En el panel Información general de la cuenta de firma de confianza o en el menú de recursos de Objetos, seleccione Perfiles de certificado.
En la barra de comandos, seleccione Crear y seleccione un tipo de perfil de certificado.
En Crear perfil de certificado, proporcione la siguiente información:
En Nombre del perfil de certificado, escriba un nombre único.
Para obtener más información, vea Restricciones de nomenclatura para perfiles de certificado.
El valor de Tipo de certificado se rellena automáticamente en función del tipo de perfil de certificado seleccionado.
Para CN y O comprobados, seleccione una validación de identidad que se debe mostrar en el certificado.
- Si la dirección postal debe mostrarse en el certificado, active la casilla Incluir dirección postal.
- Si el código postal debe mostrarse en el certificado, active la casilla Incluir código postal.
Los valores de los campos restantes se rellenan automáticamente en función de la selección de CN y O comprobados.
Un generadoVersión preliminar del firmante del certificado muestra la vista previa del certificado que se emitirá.
Seleccione Crear.
Limpieza de recursos
Para eliminar recursos de firma de confianza mediante Azure Portal:
Eliminación de un perfil de certificado
- En Azure Portal, vaya a la cuenta de firma de confianza.
- En el panel Información general de la cuenta de firma de confianza o en el menú de recursos de Objetos, seleccione Perfiles de certificado.
- En Perfiles de certificado, seleccione el perfil de certificado que desea eliminar.
- En la barra de comandos, seleccione Eliminar.
Nota:
Esta acción detiene cualquier firma asociada al perfil de certificado.
Eliminar una cuenta de firma de confianza
- Inicie sesión en Azure Portal.
- En el cuadro de búsqueda, escriba y seleccione Cuentas de firma de confianza.
- En Cuentas de firma de confianza, seleccione la cuenta de firma de confianza que desea eliminar.
- En la barra de comandos, seleccione Eliminar.
Nota:
Esta acción quita todos los perfiles de certificado que están vinculados a esta cuenta. Los procesos de firma asociados a los perfiles de certificado se detienen.
Contenido relacionado
En este inicio rápido, ha creado una cuenta de firma de confianza, una solicitud de validación de identidad y un perfil de certificado. Para más información sobre la firma de confianza y para iniciar el recorrido de firma, vea estos artículos:
- Obtenga más información sobre las integraciones de firma.
- Obtenga más información sobre los modelos de confianza de que la firma de confianza admite.
- Obtenga más información sobre administración de certificados.
- Si necesita ayuda con la configuración:
- Póngase en contacto con el Soporte técnico de Azure mediante Azure Portal.
- Publique la consulta en Stack Overflow o Microsoft Q&A, use la etiqueta: firma de confianza.
- Los problemas de validación de identidades solo se pueden solucionar con Stack Overflow o Microsoft Q&A.