Delen via

Beheer van vertrouwd handtekeningcertificaat

  • Artikel

In dit artikel worden vertrouwde handtekeningcertificaten beschreven, waaronder hun twee unieke kenmerken, het zero-touch levenscyclusbeheerproces van de service, het belang van tijdstempeltellers en actieve bedreigingsbewaking en intrekkingsacties van Microsoft.

De certificaten die worden gebruikt in de Trusted Signing-service volgen de standaardprocedures voor X.509-certificaten voor ondertekening van programmacode. Ter ondersteuning van een gezond ecosysteem bevat de service een volledig beheerde ervaring voor X.509-certificaten en asymmetrische sleutels voor ondertekening. De volledig beheerde ervaring voor vertrouwde ondertekening biedt alle levenscyclusacties voor certificaten voor alle certificaten in een resource voor een vertrouwd handtekeningcertificaatprofiel.

Certificaatkenmerken

Vertrouwde ondertekening maakt gebruik van het resourcetype certificaatprofiel voor het maken en beheren van X.509 v3-certificaten die klanten met vertrouwde ondertekening gebruiken voor ondertekening. De certificaten voldoen aan de RFC 5280-standaard en aan relevante Microsoft PKI Services Certificate Policy -bronnen (CP) en CPS-bronnen (Certification Practice Statements) die zich in de opslagplaats van Microsoft PKI Services bevinden.

Naast de standaardfuncties bevatten certificaatprofielen in Vertrouwde ondertekening de volgende twee unieke functies om risico's en gevolgen te beperken die zijn gekoppeld aan misbruik of misbruik van certificaatondertekening:

  • Certificaten met korte levensduur
  • EKU (Extended Key Usage) voor identiteitsvalidatie van abonnees voor het vastmaken van duurzame identiteiten

Certificaten met korte levensduur

Om de gevolgen van misbruik en misbruik van ondertekening te verminderen, worden vertrouwde ondertekeningscertificaten dagelijks vernieuwd en zijn ze slechts 72 uur geldig. In deze kortdurende certificaten kunnen intrekkingsacties zo acuut zijn als één dag of zo breed mogelijk om eventuele misbruik- en misbruikincidenten te dekken.

Als bijvoorbeeld wordt vastgesteld dat een abonnee ondertekende code die malware of een mogelijk ongewenste toepassing (PUA) was, zoals gedefinieerd in Hoe Microsoft malware identificeert en mogelijk ongewenste toepassingen identificeert, kunnen intrekkingsacties worden geïsoleerd om alleen het certificaat in te trekken dat de malware of PUA heeft ondertekend. De intrekking is alleen van invloed op de code die is ondertekend met behulp van dat certificaat op de dag dat het is uitgegeven. De intrekking is niet van toepassing op code die vóór die dag of na die dag is ondertekend.

EKU voor identiteitsvalidatie van abonnees

Het is gebruikelijk dat certificaten voor ondertekening van X.509-eindentiteiten op een regelmatige tijdlijn worden vernieuwd om belangrijke hygiëne te garanderen. Vanwege de dagelijkse verlenging van het certificaat van vertrouwde ondertekening, het vastmaken van een vertrouwensrelatie of validatie aan een certificaat dat gebruikmaakt van certificaatkenmerken (bijvoorbeeld de openbare sleutel) of de vingerafdruk van een certificaat (de hash van het certificaat) is niet duurzaam. Ook kunnen DN-waarden (onderwerpDN)-waarden gedurende de levensduur van een identiteit of organisatie worden gewijzigd.

Om deze problemen op te lossen, biedt Trusted Signing een duurzame identiteitswaarde in elk certificaat dat is gekoppeld aan de identiteitsvalidatieresource van het abonnement. De duurzame identiteitswaarde is een aangepaste EKU met het voorvoegsel 1.3.6.1.4.1.311.97. en wordt gevolgd door meer octetwaarden die uniek zijn voor de identiteitsvalidatieresource die wordt gebruikt in het certificaatprofiel. Hieronder volgen een aantal voorbeelden:

  • Voorbeeld van identiteitsvalidatie van openbare vertrouwensrelatie

    Een waarde van geeft een abonnee voor vertrouwde ondertekening aan die gebruikmaakt van de validatie van 1.3.6.1.4.1.311.97.990309390.766961637.194916062.941502583 de openbare vertrouwensidentiteit. Het 1.3.6.1.4.1.311.97. voorvoegsel is het ondertekeningstype openbare vertrouwenscode voor vertrouwde ondertekening. De 990309390.766961637.194916062.941502583 waarde is uniek voor de identiteitsvalidatie van de abonnee voor openbare vertrouwensrelatie.

  • Voorbeeld van validatie van private trust-identiteit

    Een waarde van geeft een abonnee voor vertrouwde ondertekening aan die gebruikmaakt van 1.3.6.1.4.1.311.97.1.3.1.29433.35007.34545.16815.37291.11644.53265.56135 validatie van de Private Trust-identiteit. Het 1.3.6.1.4.1.311.97.1.3.1. voorvoegsel is het ondertekeningstype private trust voor vertrouwde ondertekening. De 29433.35007.34545.16815.37291.11644.53265.56135 waarde is uniek voor de identiteitsvalidatie van de abonnee voor Private Trust.

    Omdat u private trust-identiteitsvalidaties kunt gebruiken voor het ondertekenen van CI-beleid (Windows Defender Application Control), hebben ze een ander EKU-voorvoegsel: 1.3.6.1.4.1.311.97.1.4.1.. Maar de achtervoegselwaarden komen overeen met de duurzame identiteitswaarde voor de identiteitsvalidatie van de abonnee voor Private Trust.

Notitie

U kunt EKU's voor duurzame identiteiten in WDAC CI-beleidsinstellingen gebruiken om een vertrouwensrelatie vast te maken aan een identiteit in Vertrouwde ondertekening. Zie Ondertekende beleidsregels gebruiken om Windows Defender Application Control te beveiligen tegen manipulatie en wizard Windows Defender Application Control voor meer informatie over het maken van WDAC-beleid.

Alle openbare vertrouwenscertificaten voor vertrouwde ondertekening bevatten ook de 1.3.6.1.4.1.311.97.1.0 EKU die eenvoudig kan worden geïdentificeerd als een openbaar vertrouwd certificaat van Vertrouwde ondertekening. Alle EKU's voor codeondertekening (1.3.6.1.5.5.7.3.3) worden geleverd om het specifieke gebruikstype voor certificaatgebruikers te identificeren. De enige uitzondering hierop zijn certificaten die het certificaatprofieltype Trusted Signing Private Trust CI Policy zijn, waarin geen EKU voor ondertekening van code aanwezig is.

Levenscyclusbeheer van Zero Touch-certificaten

Vertrouwde ondertekening is bedoeld om de ondertekening zoveel mogelijk te vereenvoudigen voor elke abonnee. Een belangrijk onderdeel van het vereenvoudigen van ondertekening is het bieden van een volledig geautomatiseerde oplossing voor levenscyclusbeheer van certificaten. De functie levenscyclusbeheer van vertrouwde ondertekening zonder aanraakcertificaat verwerkt automatisch alle standaardcertificaatacties voor u.

Deze bevat:

  • Veilige sleutelgeneratie, opslag en gebruik in FIPS 140-2 Hardware cryptomodules op niveau 3 die door de service worden beheerd.
  • Dagelijkse vernieuwingen van certificaten om ervoor te zorgen dat u altijd een geldig certificaat hebt om uw certificaatprofielbronnen te ondertekenen.

Elk certificaat dat u maakt en uitvraagt, wordt vastgelegd in Azure Portal. U kunt logboekgegevensfeeds weergeven die het serienummer van het certificaat, de vingerafdruk, de gemaakte datum, de vervaldatum en de status (bijvoorbeeld Actief, Verlopen of Ingetrokken) in de portal bevatten.

Notitie

Vertrouwde ondertekening biedt geen ondersteuning voor het importeren of exporteren van persoonlijke sleutels en certificaten. Alle certificaten en sleutels die u in Vertrouwde ondertekening gebruikt, worden beheerd in FIPS 140-2 Level 3 beheerde hardware cryptomodules.

Tijdstempeltellers

De standaardpraktijk bij het ondertekenen is om alle handtekeningen met een RFC 3161-compatibel tijdstempel te countersigneren. Omdat vertrouwde ondertekening gebruikmaakt van certificaten met korte levensduur, is tijdstempelondertekening essentieel voor een handtekening die geldig is na de levensduur van het handtekeningcertificaat. Een tijdstempelondertekening biedt een cryptografisch veilig tijdstempeltoken van een TSA (Time Stamping Authority) die voldoet aan de standaarden van de CDR's (Code Signing Baseline Requirements).

Een aantekening biedt een betrouwbare datum en tijd waarop de ondertekening heeft plaatsgevonden. Als de tijdstempelteller binnen de geldigheidsperiode van het handtekeningcertificaat en de geldigheidsperiode van het TSA-certificaat valt, is de handtekening geldig. Het is geldig lang nadat het handtekeningcertificaat is verlopen en het TSA-certificaat is verlopen (tenzij beide zijn ingetrokken).

Vertrouwde ondertekening biedt een algemeen beschikbaar TSA-eindpunt op http://timestamp.acs.microsoft.com. Het is raadzaam dat alle vertrouwde ondertekeningsabonnees dit TSA-eindpunt gebruiken om handtekeningen te ondertekenen die ze produceren.

Actieve bewaking

Vertrouwde ondertekening ondersteunt gepassioneerd een gezond ecosysteem door actieve bewaking van bedreigingsinformatie te gebruiken om voortdurend te zoeken naar gevallen van misbruik en misbruik van openbare vertrouwenscertificaten van vertrouwde ondertekeningsabonnees.

  • Voor een bevestigd geval van misbruik of misbruik voert Trusted Signing onmiddellijk de nodige stappen uit om bedreigingen te beperken en op te lossen, met inbegrip van gerichte of brede intrekking van certificaten en het opschorten van accounts.

  • U kunt intrekkingsacties rechtstreeks in Azure Portal voltooien voor certificaten die zijn geregistreerd onder een certificaatprofiel dat u bezit.

Volgende stap

Vertrouwde ondertekening instellen