Resources en rollen voor vertrouwde ondertekening
Vertrouwde ondertekening is een systeemeigen Azure-resource die volledige ondersteuning biedt voor algemene Azure-concepten, zoals resources. Net als bij elke andere Azure-resource heeft Trusted Signing een eigen set resources en rollen die zijn ontworpen om het beheer van de service te vereenvoudigen.
In dit artikel maakt u kennis met de resources en rollen die specifiek zijn voor vertrouwde ondertekening.
Resourcetypen voor vertrouwde ondertekening
Vertrouwde ondertekening heeft de volgende resourcetypen:
Vertrouwd ondertekeningsaccount: een account is een logische container van alle resources die u nodig hebt om ondertekening te voltooien en toegangsbeheer voor gevoelige resources te beheren.
Identiteitsvalidaties: Met identiteitsvalidatie wordt de verificatie van uw organisatie of afzonderlijke identiteit uitgevoerd voordat u code kunt ondertekenen. De geverifieerde organisatie of afzonderlijke identiteit is de bron van de kenmerken voor de DN-waarden van het certificaatprofielonderwerp (onderwerp-DN) (bijvoorbeeld
CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US). Identiteitsvalidatierollen worden toegewezen aan tenant-identiteiten om deze resources te maken.Certificaatprofielen: een certificaatprofiel zijn de configuratiekenmerken waarmee de certificaten worden gegenereerd die u gebruikt om code te ondertekenen. Het definieert ook het vertrouwensmodel en het scenario waarin ondertekende inhoud wordt gebruikt door relying party's. Ondertekeningsrollen worden toegewezen aan deze resource om tenantidentiteiten te autoriseren om ondertekening aan te vragen. Een vereiste voor het maken van een certificaatprofiel is dat ten minste één identiteitsvalidatieaanvraag is voltooid.
In de volgende voorbeeldstructuur heeft een Azure-abonnement een resourcegroep. Onder de resourcegroep kunt u een of veel resources voor een of meer vertrouwde ondertekeningsaccounts met een of veel identiteitsvalidaties en certificaatprofielen hebben.
De service ondersteunt beleid voor openbare vertrouwensrelaties, private trust, ci-integriteitsbeleid (code-integriteit), vbs-enclave (beveiliging op basis van virtualisatie) en openbare vertrouwenstests, zodat het handig is om meerdere vertrouwde ondertekeningsaccounts en certificaatprofielen te hebben. Zie Vertrouwde handtekeningcertificaattypen en -beheer voor meer informatie over de certificaatprofieltypen en hoe ze worden gebruikt.
Notitie
Identiteitsvalidaties en certificaatprofielen zijn afgestemd op Openbare Vertrouwensrelatie of Private Trust. Een openbare vertrouwensidentiteitsvalidatie wordt alleen gebruikt voor certificaatprofielen die worden gebruikt voor het openbare vertrouwensmodel. Zie Vertrouwde handtekeningvertrouwensmodellen voor meer informatie.
Vertrouwd ondertekeningsaccount
Een vertrouwd handtekeningaccount is een logische container van de resources die worden gebruikt om certificaatondertekening te voltooien. Vertrouwde ondertekeningsaccounts kunnen worden gebruikt om grenzen van een project of organisatie te definiëren. Voor de meeste gebruikers kan één vertrouwd handtekeningaccount voldoen aan alle ondertekeningsbehoeften voor een persoon of organisatie. Mogelijk wilt u veel artefacten ondertekenen die worden gedistribueerd door dezelfde identiteit (bijvoorbeeld Contoso News, LLC), maar operationeel zijn er mogelijk grenzen die u wilt tekenen in termen van toegang tot ondertekening. U kunt ervoor kiezen om een vertrouwd handtekeningaccount per product of per team te hebben om te isoleren hoe een account wordt gebruikt of om ondertekening bij te houden. U kunt dit isolatiepatroon echter ook bereiken op certificaatprofielniveau.
Identiteitsvalidaties
Identiteitsvalidaties gaan allemaal over het tot stand brengen van de identiteit op de certificaten die worden gebruikt voor ondertekening. Er zijn twee typen: Openbare vertrouwensrelatie en privévertrouwensrelatie. Wat de twee typen definieert, is het identiteitsvalidatieniveau dat is vereist om het maken van een identiteitsvalidatieresource te voltooien.
Openbare vertrouwen betekent dat alle identiteitswaarden moeten worden gevalideerd in overeenstemming met de Microsoft PKI Services Third-Party Certification Practice Statement (CPS). Deze vereiste is afgestemd op de verwachtingen voor openbaar vertrouwde certificaten voor ondertekening van programmacode.
Private Trust is bedoeld voor situaties waarin er een gevestigde vertrouwensrelatie is in een privé-identiteit tussen een of meer relying party's (consumenten van handtekeningen) of intern in LOB-scenario's (App Control of Line-Of-Business). Met Private Trust-identiteitsvalidaties is er minimale verificatie van de identiteitskenmerken (bijvoorbeeld de
Organization Unitwaarde). Verificatie is nauw gekoppeld aan de Azure-tenant van de abonnee (bijvoorbeeldContoso.onmicrosoft.com). De waarden in Private Trust-certificaatprofielen worden niet gevalideerd buiten de gegevens van de Azure-tenant.
Zie Vertrouwde ondertekeningsvertrouwensmodellen voor meer informatie over openbare vertrouwensrelaties en persoonlijke vertrouwensrelaties.
Certificaatprofielen
Trusted Signing biedt vijf totale certificaatprofieltypen die alle abonnees kunnen gebruiken met de uitgelijnde en voltooide identiteitsvalidatieresources. Deze vijf certificaatprofielen zijn als volgt afgestemd op identiteitsvalidaties van openbare vertrouwensrelaties of privévertrouwensrelaties:
-
Openbare vertrouwensrelatie
Openbare vertrouwensrelatie: wordt gebruikt voor ondertekening van code en artefacten die openbaar kunnen worden gedistribueerd. Dit certificaatprofiel wordt standaard vertrouwd op het Windows-platform voor ondertekening van programmacode.
VBS-enclave: wordt gebruikt voor het ondertekenen van beveiligings-enclaves op basis van virtualisatie in Windows.
Openbare vertrouwenstest: wordt alleen gebruikt voor testondertekening en wordt niet standaard vertrouwd. Overweeg openbare vertrouwenstestcertificaatprofielen als een uitstekende optie voor binnenste lus-buildondertekening.
Notitie
Alle certificaten onder het certificaatprofieltype Openbare vertrouwenstest omvatten de levensduur van de EKU (
1.3.6.1.4.1.311.10.3.13), die de validatie dwingt de levensduur van het handtekeningcertificaat te respecteren, ongeacht de aanwezigheid van een geldige tijdstempelondertekening.
-
Privévertrouwen
- Privévertrouwen: wordt gebruikt voor het ondertekenen van interne of privéartefacten, zoals LOB-toepassingen en containers. U kunt het ook gebruiken om catalogusbestanden te ondertekenen in App Control voor Bedrijven.
-
Ci-beleid voor private trust: het certificaatprofiel voor ci-beleid voor private trust is het enige type dat niet de EKU voor ondertekening van programmacode (
1.3.6.1.5.5.7.3.3) bevat. Dit certificaatprofiel is ontworpen voor het ondertekenen van app-beheer voor zakelijke CI-beleidsbestanden.
Ondersteunde rollen
Op rollen gebaseerd toegangsbeheer (RBAC) is een hoeksteenconcept voor alle Azure-resources. Vertrouwde ondertekening voegt twee aangepaste rollen toe om te voldoen aan de behoeften van abonnees voor het maken van een identiteitsvalidatie (de rol Trusted Signing Identity Verifier) en ondertekening met certificaatprofielen (de rol Profielondertekening voor vertrouwd handtekeningcertificaat). Deze aangepaste rollen moeten expliciet worden toegewezen om deze twee kritieke functies uit te voeren in het gebruik van vertrouwde ondertekening. De volgende tabel bevat een volledige lijst met rollen die door Trusted Signing worden ondersteund en hun mogelijkheden, inclusief alle standaard Azure-rollen.
| Role | Account beheren en weergeven | Certificaatprofielen beheren | Aanmelden met behulp van een certificaatprofiel | Ondertekeningsgeschiedenis weergeven | Roltoewijzing beheren | Identiteitsvalidatie beheren |
|---|---|---|---|---|---|---|
| Verifier voor vertrouwde ondertekeningsidentiteit1 | X | |||||
| Handtekeningcertificaatprofielondertekening2 | X | X | ||||
| Eigenaar | X | X | X | |||
| Inzender | X | X | ||||
| Lezer | X | |||||
| Beheerder voor gebruikerstoegang | X |
1 Vereist voor het maken of beheren van identiteitsvalidatie. Alleen beschikbaar in Azure Portal.
2 Vereist om te ondertekenen met vertrouwde ondertekening.
Gerelateerde inhoud
- Voltooi de quickstart voor het instellen van vertrouwde ondertekening.
- Meer informatie over vertrouwde ondertekeningsvertrouwensmodellen.
- Controleer het concept vertrouwde ondertekeningscertificaten en beheer .