Ресурсы и роли доверенного подписывания
Доверенный подписывание — это собственный ресурс Azure, который обеспечивает полную поддержку общих понятий Azure, таких как ресурсы. Как и в случае с любым другим ресурсом Azure, доверенный подписывание имеет собственный набор ресурсов и ролей, предназначенных для упрощения управления службой.
В этой статье представлены ресурсы и роли, относящиеся к доверенному подписи.
Типы ресурсов доверенного подписывания
Доверенный подписывание имеет следующие типы ресурсов:
Учетная запись доверенного подписывания. Учетная запись является логическим контейнером всех ресурсов, необходимых для подписывания и управления элементами управления доступом к конфиденциальным ресурсам.
Проверки удостоверений. Проверка удостоверений выполняет проверку вашей организации или отдельного удостоверения, прежде чем подписывать код. Проверенная организация или индивидуальное удостоверение является источником атрибутов для значений различающегося имени субъекта сертификата (например,
CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=USDN субъекта). Роли проверки удостоверений назначаются удостоверениям клиента для создания этих ресурсов.Профили сертификатов: профиль сертификата — это атрибуты конфигурации, которые создают сертификаты, используемые для подписывания кода. Он также определяет модель доверия и сценарий, который подписанный контент используется в соответствии с проверяющими сторонами. Роли подписывания назначаются этому ресурсу для авторизации удостоверений клиента для запроса подписывания. Предварительным условием для создания любого профиля сертификата является завершение по крайней мере одного запроса проверки удостоверения.
В приведенной ниже структуре подписка Azure имеет группу ресурсов. В группе ресурсов можно использовать один или несколько ресурсов доверенной учетной записи подписывания с одним или несколькими профилями проверки удостоверения и сертификатов.
Служба поддерживает политику общедоступного доверия, частное доверие, политику целостности кода (CI), анклав безопасности на основе виртуализации (VBS) и типы подписывания public Trust, поэтому полезно иметь несколько учетных записей доверенных подписей и профилей сертификатов. Дополнительные сведения о типах профилей сертификатов и их использовании см. в разделе "Типы сертификатов и управление доверенным подписыванием".
Примечание.
Проверки удостоверений и профили сертификатов соответствуют общедоступному доверию или частному доверию. Проверка удостоверения общедоступного доверия используется только для профилей сертификатов, используемых для модели public Trust. Дополнительные сведения см. в моделях доверия доверенных подписей.
Учетная запись доверенного подписывания
Учетная запись доверенного подписывания — это логический контейнер ресурсов, которые используются для завершения подписи сертификатов. Доверенные учетные записи подписывания можно использовать для определения границ проекта или организации. В большинстве случаев одна учетная запись доверенного подписывания может удовлетворить все потребности подписи для отдельного человека или организации. Может потребоваться подписать множество артефактов, распределенных по одному и тому же удостоверению (например, Contoso News, LLCнапример), но в оперативном режиме могут возникнуть границы, которые необходимо нарисовать с точки зрения доступа к подписи. Вы можете выбрать учетную запись доверенной подписи для каждого продукта или группы, чтобы изолировать способ использования учетной записи или отслеживания подписывания. Однако этот шаблон изоляции также можно достичь на уровне профиля сертификата.
Проверки удостоверений
Проверка удостоверений — это все о создании удостоверения на сертификатах, используемых для подписи. Существует два типа: public Trust и Private Trust. Определение двух типов — это уровень проверки удостоверений, необходимый для завершения создания ресурса проверки удостоверения.
Public Trust означает, что все значения удостоверений должны быть проверены в соответствии с заявлением о сертификации сторонних служб PKI (CPS). Это требование соответствует ожиданиям общедоступных сертификатов подписывания кода.
Частное доверие предназначено для ситуаций, в которых существует установленное доверие к частному удостоверению между одной или многими проверяющими сторонами (потребителями подписей) или внутри управления приложениями или бизнес-сценариев (LOB). При проверке удостоверений частного доверия выполняется минимальная проверка атрибутов удостоверения (например,
Organization Unitзначение). Проверка тесно связана с клиентом Azure подписчика (например,Costoso.onmicrosoft.com). Значения в профилях сертификатов частного доверия не проверяются за пределами сведений о клиенте Azure.
Дополнительные сведения об общедоступном доверии и частном доверии см. в моделях доверия доверенных подписей.
Профили сертификатов
Доверенный подписывание предоставляет пять типов профилей сертификатов, которые все подписчики могут использовать с выровненными и завершенными ресурсами проверки удостоверения. Эти пять профилей сертификатов соответствуют проверке удостоверений public Trust или Private Trust, как показано ниже.
- Общедоступное доверие
Public Trust: используется для подписывания кода и артефактов, которые могут быть распределены публично. Этот профиль сертификата является доверенным по умолчанию на платформе Windows для подписывания кода.
Анклава VBS: используется для подписывания анклава безопасности на основе виртуализации в Windows.
Тест общедоступного доверия: используется только для подписывания тестов и не является общедоступным доверенным по умолчанию. Рассмотрим профили сертификатов public Trust Test как отличный вариант для подписывания внутренней сборки.
Примечание.
Все сертификаты в типе профиля сертификата public Trust Test включают EKU времени существования (
1.3.6.1.4.1.311.10.3.13), который заставляет проверку соблюдать время существования сертификата подписи независимо от наличия допустимой метки времени.
- Частное доверие
- Частное доверие: используется для подписывания внутренних или частных артефактов, таких как бизнес-приложения и контейнеры. Вы также можете использовать его для подписывания файлов каталога в App Control для бизнеса.
- Политика CI частного доверия: профиль сертификата политики CI частного доверия является единственным типом, который не включает EKU подписывания кода (
1.3.6.1.5.5.7.3.3). Этот профиль сертификата предназначен для подписывания файлов политики CI для бизнеса.
Поддерживаемые роли
Управление доступом на основе ролей (RBAC) является основой для всех ресурсов Azure. Доверенный подписывание добавляет две пользовательские роли для удовлетворения потребностей подписчика для создания проверки удостоверения (роль проверки доверенных удостоверений подписывания) и подписывания с помощью профилей сертификатов (роль подписывания доверенного сертификата подписывания). Эти пользовательские роли явно должны быть назначены для выполнения этих двух критически важных функций при использовании доверенного подписывания. В следующей таблице представлен полный список ролей, поддерживаемых доверенным подписыванием и их возможностями, включая все стандартные роли Azure.
| Роль | Управление учетной записью и просмотр | Управление профилями сертификатов | Вход с помощью профиля сертификата | Просмотр журнала подписывания | Управление назначением ролей | Управление проверкой удостоверений |
|---|---|---|---|---|---|---|
| Проверятельудостоверений доверенного подписывания 1 | X | |||||
| Доверенный подписыватель профиля сертификата2 | X | X | ||||
| Ответственный | X | X | X | |||
| Участник | X | X | ||||
| Читатель | X | |||||
| Администратор доступа пользователей | X |
1 Требуется для создания или управления проверкой удостоверений. Доступно только в портал Azure.
2 Обязательный для успешного входа с помощью доверенного подписывания.
Связанный контент
- Выполните краткое руководство по настройке доверенного подписывания.
- Узнайте о моделях доверия доверенных подписей.
- Просмотрите основные понятия сертификатов доверенной подписи и управления .