Поделиться через

Управление сертификатами доверенной подписи

  • Статья

В этой статье описываются сертификаты доверенных подписей, включая два уникальных атрибута, процесс управления жизненным циклом без касания службы, важность счетчиков меток времени и действия активного мониторинга угроз и отзыва майкрософт.

Сертификаты, используемые в службе доверенных подписей, соответствуют стандартным рекомендациям для сертификатов подписи кода X.509. Для поддержки здоровой экосистемы служба включает полностью управляемый интерфейс для сертификатов X.509 и асимметричных ключей для подписывания. Полностью управляемый интерфейс подписывания доверенных сертификатов предоставляет все действия жизненного цикла сертификатов для всех сертификатов в ресурсе профиля сертификата доверенной подписи.

Атрибуты сертификата

Доверенный подписывание использует тип ресурса профиля сертификата для создания сертификатов X.509 версии 3 и управления ими, которые клиенты доверенного подписывания используют для подписывания. Сертификаты соответствуют стандарту RFC 5280 и соответствующим ресурсам политики сертификатов служб PKI (CP) и инструкций сертификации (CPS), которые находятся в репозитории служб Microsoft PKI Services.

Помимо стандартных функций профили сертификатов в доверенном подписи включают следующие две уникальные функции, которые помогают снизить риски и последствия, связанные с неправильным использованием или злоупотреблением подписью сертификата:

  • Кратковременные сертификаты
  • Проверка удостоверений подписчика для расширенного использования ключей (EKU) для надежного закрепления удостоверений

Кратковременные сертификаты

Чтобы снизить влияние неправильного использования подписи и злоупотреблений, доверенные сертификаты подписи обновляются ежедневно и действительны только в течение 72 часов. В этих кратковременных сертификатах действия отзыва могут быть столь острыми, как один день или по мере необходимости для покрытия любых инцидентов неправильного использования и злоупотреблений.

Например, если вы определили, что подписчик подписал код, который был вредоносным или потенциально нежелательным приложением (PUA), как определено в разделе "Как Корпорация Майкрософт определяет вредоносные программы и потенциально нежелательные приложения, действия отзыва могут быть изолированы для отзыва только сертификата, подписанного вредоносным ПО или PUA". Отзыв влияет только на код, подписанный с помощью этого сертификата в день его выдачи. Отзыв не применяется к любому коду, который был подписан до этого дня или после этого дня.

EKU проверки удостоверения подписчика

Обычно сертификаты подписывания конечных сущностей X.509 обновляются на регулярном временная шкала для обеспечения гигиены ключей. Из-за ежедневного продления сертификата доверенного подписывания, закрепление доверия или проверки к сертификату конечной сущности, использующему атрибуты сертификата (например, открытый ключ) или отпечаток сертификата (хэш сертификата) не является устойчивым. Кроме того, значения различающегося имени субъекта (DN субъекта) могут изменяться в течение времени существования удостоверения или организации.

Чтобы устранить эти проблемы, доверенный подписывание предоставляет устойчивое значение удостоверения в каждом сертификате, связанном с ресурсом проверки удостоверения подписки. Значение устойчивого удостоверения — это пользовательский EKU, имеющий префикс 1.3.6.1.4.1.311.97. и за которым следует больше значений октетов, уникальных для ресурса проверки удостоверений, используемого в профиле сертификата. Далее приводятся некоторые примеры.

  • Пример проверки удостоверения общедоступного доверия

    Значение 1.3.6.1.4.1.311.97.990309390.766961637.194916062.941502583 указывает на подписчик доверенного подписывания, использующего проверку удостоверения public Trust. Префикс 1.3.6.1.4.1.311.97. — это тип подписывания кода доверенного общедоступного доверия. Это 990309390.766961637.194916062.941502583 значение уникально для проверки удостоверения подписчика для общедоступного доверия.

  • Пример проверки удостоверений частного доверия

    Значение 1.3.6.1.4.1.311.97.1.3.1.29433.35007.34545.16815.37291.11644.53265.56135 указывает на подписчик доверенного подписывания, использующего проверку удостоверений частного доверия. Префикс 1.3.6.1.4.1.311.97.1.3.1. — это тип подписывания кода доверенного подписывания частного доверия. Это 29433.35007.34545.16815.37291.11644.53265.56135 значение уникально для проверки удостоверений подписчика для частного доверия.

    Так как вы можете использовать проверки удостоверений частного доверия для подписывания политики целостности кода в Защитнике Windows (WDAC), они имеют другой префикс EKU: 1.3.6.1.4.1.311.97.1.4.1. Но значения суффикса соответствуют значению устойчивого удостоверения для проверки удостоверения подписчика для частного доверия.

Примечание.

Вы можете использовать EKUs устойчивых удостоверений в параметрах политики CI WDAC, чтобы закрепить доверие к удостоверению в доверенном подписи. Сведения о создании политик WDAC см. в статье "Использование подписанных политик для защиты управления приложениями Защитника Windows от незаконного изменения " и мастера управления приложениями в Защитнике Windows.

Все сертификаты общедоступного доверия доверенного подписывания также содержат 1.3.6.1.4.1.311.97.1.0 EKU, чтобы легко определить его как общедоступный доверенный сертификат из доверенного подписи. Все EKUs предоставляются в дополнение к EKU подписи кода (1.3.6.1.5.5.7.3.3) для определения конкретного типа использования для потребителей сертификатов. Единственное исключение — сертификаты, являющиеся типом профиля сертификата сертификата политики конфиденциального доверия доверенного доверия, в котором отсутствует EKU подписывания кода.

Управление жизненным циклом сертификатов нулевого касания

Доверенный подписывание направлен на упрощение подписывания как можно больше для каждого подписчика. Основная часть упрощения подписи заключается в предоставлении полностью автоматизированного решения по управлению жизненным циклом сертификатов. Функция управления жизненным циклом жизненного цикла сертификатов нулевого касания доверенного подписывания автоматически обрабатывает все стандартные действия сертификата.

Сюда входят:

  • Безопасное создание ключей, хранилище и использование в модулях шифрования fiPS 140-2 уровня 3, которыми управляет служба.
  • Ежедневное продление сертификатов, чтобы гарантировать наличие допустимого сертификата для подписи ресурсов профиля сертификата.

Каждый создаваемый сертификат и проблема регистрируются в портал Azure. Вы можете просматривать каналы данных журнала, включающие серийный номер сертификата, отпечаток, дату создания, дату окончания срока действия и состояние (например, активный, истекший срок действия или отзыв) на портале.

Примечание.

Доверенный подписывание не поддерживает импорт и экспорт закрытых ключей и сертификатов. Все сертификаты и ключи, используемые в доверенном подписи, управляются в модулях шифрования оборудования FIPS 140-2 уровня 3.

Счетчики меток времени

Стандартная практика входа — счетчик всех подписей с меткой времени, совместимой с RFC 3161. Так как доверенный подписывание использует короткие сертификаты, счетчик меток времени имеет решающее значение для подписи, чтобы подпись была допустимой за пределами срока действия сертификата подписи. Счетчик меток времени предоставляет криптографически безопасный маркер метки времени из центра метки времени (TSA), который соответствует стандартам базовых требований к подписи кода (CSBR).

Счетчик предоставляет надежную дату и время подписания. Если счетчик меток времени находится внутри срока действия сертификата подписи и срока действия сертификата TSA, подпись является допустимой. Срок действия сертификата подписи и срок действия сертификата TSA (если он не отозван).

Доверенный подписывание предоставляет общедоступную конечную точку TSA по адресу http://timestamp.acs.microsoft.com. Мы рекомендуем всем подписчикам доверенной подписи использовать эту конечную точку TSA для подписывания любых создаваемых подписей.

Активный мониторинг

Доверенный подписывание страстно поддерживает здоровую экосистему с помощью активного мониторинга аналитики угроз для постоянного поиска случаев неправильного использования и злоупотреблений сертификатами общественного доверия подписчиков доверенных подписок.

  • Для подтвержденного случая неправильного использования или злоупотреблений доверенный подписывание немедленно принимает необходимые меры для устранения и устранения любых угроз, включая целевую или широкую отмену сертификатов и приостановку учетной записи.

  • Вы можете выполнить действия отзыва непосредственно в портал Azure для всех сертификатов, зарегистрированных в профиле сертификата, который вы владеете.

Следующий шаг

Настройка доверенной подписи