Udostępnij za pośrednictwem

Zarządzanie zaufanym certyfikatem podpisywania

  • Artykuł

W tym artykule opisano certyfikaty zaufanego podpisywania, w tym ich dwa unikatowe atrybuty, proces zarządzania cyklem życia bezobsługowego usługi, znaczenie kontrprzypisów sygnatur czasowych i aktywne akcje monitorowania i odwoływania zagrożeń firmy Microsoft.

Certyfikaty używane w usłudze Zaufane podpisywanie są zgodne ze standardowymi rozwiązaniami dotyczącymi certyfikatów podpisywania kodu X.509. Aby zapewnić obsługę zdrowego ekosystemu, usługa obejmuje w pełni zarządzane środowisko dla certyfikatów X.509 i kluczy asymetrycznych do podpisywania. W pełni zarządzane środowisko zaufanego podpisywania zapewnia wszystkie akcje cyklu życia certyfikatu dla wszystkich certyfikatów w zasobie profilu certyfikatu zaufanego podpisywania.

Atrybuty certyfikatu

Zaufane podpisywanie używa typu zasobu profilu certyfikatu do tworzenia certyfikatów X.509 v3 używanych przez zaufanych klientów podpisywania do podpisywania i zarządzania nimi. Certyfikaty są zgodne ze standardem RFC 5280 i odpowiednimi zasobami zasad certyfikatów usług PKI firmy Microsoft (CP) i oświadczeniami dotyczącymi praktyk certyfikacji (CPS), które znajdują się w repozytorium usług PKI firmy Microsoft.

Oprócz standardowych funkcji profile certyfikatów w podpisywaniu zaufanym obejmują następujące dwie unikatowe funkcje, które pomagają ograniczyć ryzyko i wpływ, które są związane z nieprawidłowym użyciem lub nadużyciem podpisywania certyfikatu:

  • Certyfikaty krótkotrwałe
  • Rozszerzone użycie klucza weryfikacji tożsamości subskrybenta (EKU) na potrzeby przypinania tożsamości trwałej

Certyfikaty krótkotrwałe

Aby zmniejszyć wpływ nieprawidłowego użycia podpisywania i nadużyć, certyfikaty zaufanego podpisywania są odnawiane codziennie i są ważne tylko przez 72 godziny. W tych krótkotrwałych certyfikatach działania odwołania mogą być tak ostre jak jeden dzień lub tak szerokie, jak to konieczne, aby pokryć wszelkie incydenty nieprawidłowego użycia i nadużyć.

Jeśli na przykład zostanie określony kod podpisany przez subskrybenta, który był złośliwym oprogramowaniem lub potencjalnie niechcianym oprogramowaniem (PUA), zgodnie z definicją w temacie Jak firma Microsoft identyfikuje złośliwe oprogramowanie i potencjalnie niechciane aplikacje, akcje odwołania mogą być izolowane w celu odwołania tylko certyfikatu, który podpisał złośliwe oprogramowanie lub puA. Odwołanie ma wpływ tylko na kod podpisany przy użyciu tego certyfikatu w dniu jego wystawienia. Odwołanie nie ma zastosowania do żadnego kodu, który został podpisany przed tym dniem lub po tym dniu.

EKU weryfikacji tożsamości subskrybenta

Certyfikaty podpisywania jednostek końcowych X.509 są często odnawiane na regularnej osi czasu w celu zapewnienia higieny kluczy. Z powodu codziennego odnawiania certyfikatu zaufanego podpisywania przypinanie zaufania lub walidacji do certyfikatu jednostki końcowej, który używa atrybutów certyfikatu (na przykład klucza publicznego) lub odcisku palca certyfikatu (skrót certyfikatu) nie jest trwały. Ponadto wartości nazwy wyróżniającej podmiotu (podmiot DN) mogą zmieniać się w okresie istnienia tożsamości lub organizacji.

Aby rozwiązać te problemy, zaufane podpisywanie zapewnia wartość trwałej tożsamości w każdym certyfikacie skojarzonym z zasobem weryfikacji tożsamości subskrypcji. Wartość tożsamości trwałej jest niestandardowym kluczem EKU, który ma prefiks 1.3.6.1.4.1.311.97. i następuje więcej wartości oktetów, które są unikatowe dla zasobu weryfikacji tożsamości używanego w profilu certyfikatu. Oto kilka przykładów:

  • Przykład weryfikacji tożsamości zaufania publicznego

    Wartość 1.3.6.1.4.1.311.97.990309390.766961637.194916062.941502583 wskazuje subskrybenta zaufanego podpisywania, który używa weryfikacji tożsamości zaufania publicznego. Prefiks 1.3.6.1.4.1.311.97. jest typem podpisywania kodu zaufanego zaufania publicznego. Wartość 990309390.766961637.194916062.941502583 jest unikatowa dla weryfikacji tożsamości subskrybenta dla publicznego zaufania.

  • Przykład weryfikacji tożsamości zaufania prywatnego

    Wartość wskazuje zaufanego subskrybenta 1.3.6.1.4.1.311.97.1.3.1.29433.35007.34545.16815.37291.11644.53265.56135 podpisywania, który używa weryfikacji tożsamości zaufania prywatnego. Prefiks 1.3.6.1.4.1.311.97.1.3.1. jest typem podpisywania kodu zaufanego prywatnego zaufania. Wartość 29433.35007.34545.16815.37291.11644.53265.56135 jest unikatowa dla weryfikacji tożsamości subskrybenta dla usługi Private Trust.

    Ponieważ można użyć weryfikacji tożsamości zaufania prywatnego dla podpisywania zasad integralności kodu (CI) w usłudze Windows Defender Application Control (WDAC), mają inny prefiks EKU: 1.3.6.1.4.1.311.97.1.4.1.. Jednak wartości sufiksów są zgodne z wartością trwałej tożsamości dla weryfikacji tożsamości subskrybenta dla prywatnej relacji zaufania.

Uwaga

Aby przypiąć zaufanie do tożsamości w zaufanym podpisywaniu, można użyć jednostek EKU trwałej tożsamości w ustawieniach zasad ciągłej integracji WDAC. Aby uzyskać informacje na temat tworzenia zasad WDAC, zobacz Używanie podpisanych zasad do ochrony kontroli aplikacji usługi Windows Defender przed naruszeniami i Kreatorem sterowania aplikacjami usługi Windows Defender.

Wszystkie certyfikaty zaufanego podpisywania publicznego zawierają 1.3.6.1.4.1.311.97.1.0 również EKU, które mają być łatwo identyfikowane jako zaufany certyfikat publicznie z zaufanego podpisywania. Wszystkie EKU są udostępniane oprócz EKU podpisywania kodu (1.3.6.1.5.5.7.3.3) w celu zidentyfikowania określonego typu użycia dla użytkowników certyfikatów. Jedynym wyjątkiem są certyfikaty, które są typem profilu certyfikatu zasad ciągłej integracji zaufanego podpisywania zaufanego podpisywania, w którym nie ma kodu podpisywania EKU.

Zarządzanie cyklem życia certyfikatów bezobsługowych

Zaufane podpisywanie ma na celu uproszczenie podpisywania jak najwięcej dla każdego subskrybenta. Główną częścią upraszczania podpisywania jest zapewnienie w pełni zautomatyzowanego rozwiązania do zarządzania cyklem życia certyfikatów. Funkcja zarządzania cyklem życia certyfikatu bezobsługowego zaufanego podpisywania automatycznie obsługuje wszystkie standardowe akcje certyfikatów.

Zawartość:

  • Bezpieczne generowanie, przechowywanie i użycie kluczy w modułach kryptograficznych sprzętowych fiPS 140-2 poziom 3 zarządzanych przez usługę.
  • Codzienne odnawianie certyfikatów w celu upewnienia się, że zawsze masz prawidłowy certyfikat używany do podpisywania zasobów profilu certyfikatu.

Każdy utworzony certyfikat i wystawiany jest rejestrowany w witrynie Azure Portal. Źródła danych rejestrowania, które zawierają numer seryjny certyfikatu, odcisk palca, datę utworzenia, datę wygaśnięcia i stan (na przykład Aktywny, Wygasły lub Odwołany) w portalu.

Uwaga

Zaufane podpisywanie nie obsługuje importowania ani eksportowania kluczy prywatnych i certyfikatów. Wszystkie certyfikaty i klucze używane w zaufanym podpisywaniu są zarządzane wewnątrz modułów kryptograficznych sprzętowych obsługiwanych przez standard FIPS 140-2 poziom 3.

Sygnatury czasowe kontrapisy

Standardową praktyką podczas podpisywania jest podpisy wszystkich podpisów ze znacznikiem czasu zgodnym ze standardem RFC 3161. Ponieważ zaufane podpisywanie używa certyfikatów krótkotrwałych, sygnatura czasowa jest krytyczna, aby podpis był ważny poza okresem życia certyfikatu podpisywania. Sygnatura czasowa kontrasignature zapewnia kryptograficznie bezpieczny token sygnatury czasowej z urzędu sygnatury czasowej (TSA), który spełnia standardy wymagań punktu odniesienia podpisywania kodu (CSBRs).

Kontrasignature zapewnia niezawodną datę i godzinę wystąpienia podpisywania. Jeśli sygnatura czasowa jest w okresie ważności certyfikatu podpisywania, a okres ważności certyfikatu TSA jest prawidłowy. Po wygaśnięciu certyfikatu podpisywania i wygaśnięciu certyfikatu TSA (chyba że zostanie odwołany).

Zaufane podpisywanie zapewnia ogólnie dostępny punkt końcowy TSA w witrynie http://timestamp.acs.microsoft.com. Zalecamy, aby wszyscy subskrybenci zaufanego podpisywania używali tego punktu końcowego TSA do kontrowania podpisów, które tworzą.

Aktywne monitorowanie

Zaufane podpisywanie namiętnie obsługuje zdrowy ekosystem przy użyciu aktywnego monitorowania analizy zagrożeń, aby stale szukać przypadków nieprawidłowego użycia i nadużyć certyfikatów public trust subskrybentów zaufanego podpisywania.

  • W przypadku potwierdzonego przypadku nieprawidłowego użycia lub nadużyć zaufane podpisywanie natychmiast podejmuje niezbędne kroki w celu ograniczenia i skorygowania wszelkich zagrożeń, w tym ukierunkowanego lub szerokiego odwołania certyfikatu i zawieszenia konta.

  • Akcje odwołania można wykonać bezpośrednio w witrynie Azure Portal dla wszystkich certyfikatów zarejestrowanych w profilu certyfikatu, którego jesteś właścicielem.

Następny krok

Konfigurowanie zaufanego podpisywania