Dela via


Hantering av certifikat för betrodd signering

I den här artikeln beskrivs betrodda signeringscertifikat, inklusive deras två unika attribut, tjänstens process för livscykelhantering med noll touch, vikten av tidsstämpelräknare och Åtgärder för aktiv hotövervakning och återkallning från Microsoft.

Certifikaten som används i tjänsten Betrodd signering följer standardmetoder för X.509-kodsigneringscertifikat. För att stödja ett hälsosamt ekosystem innehåller tjänsten en fullständigt hanterad upplevelse för X.509-certifikat och asymmetriska nycklar för signering. Den fullständigt hanterade funktionen Betrodd signering innehåller alla livscykelåtgärder för certifikat för alla certifikat i en profilresurs för betrodd signeringscertifikat.

Certifikatattribut

Betrodd signering använder resurstypen certifikatprofil för att skapa och hantera X.509 v3-certifikat som betrodda signeringskunder använder för signering. Certifikaten överensstämmer med RFC 5280-standarden och relevanta microsoft PKI Services Certificate Policy-resurser (CP) och CPS-resurser (Certification Practice Statements) som finns på Microsoft PKI Services-lagringsplatsen.

Förutom standardfunktioner innehåller certifikatprofiler i betrodd signering följande två unika funktioner för att minimera risker och effekter som är associerade med missbruk eller missbruk av certifikatsignering:

  • Kortlivade certifikat
  • Validering av prenumerantidentitet utökad nyckelanvändning (EKU) för varaktig identitets pinning

Kortlivade certifikat

För att minska effekten av missbruk och missbruk av signering förnyas betrodda signeringscertifikat dagligen och är giltiga i endast 72 timmar. I dessa kortlivade certifikat kan återkallningsåtgärder vara lika akuta som en enda dag eller så breda som behövs för att täcka eventuella incidenter av missbruk och missbruk.

Om det till exempel fastställs att en prenumerant signerad kod som var skadlig kod eller ett potentiellt oönskat program (PUA) enligt definitionen i Hur Microsoft identifierar skadlig kod och potentiellt oönskade program, kan återkallningsåtgärder isoleras för att återkalla endast certifikatet som signerade skadlig kod eller PUA. Återkallandet påverkar endast den kod som signerades med hjälp av certifikatet den dag då det utfärdades. Återkallelsen gäller inte för någon kod som signerades före den dagen eller efter den dagen.

EKU för identitetsverifiering för prenumerant

Det är vanligt att X.509-signeringscertifikat för slutentitet förnyas på en regelbunden tidslinje för att säkerställa nyckelhygien. På grund av den dagliga certifikatförnyelsen för betrodd signering är det inte beständigt att fästa förtroende eller validering på ett certifikat för slutentitet som använder certifikatattribut (till exempel den offentliga nyckeln) eller ett certifikats tumavtryck (certifikatets hash). Värden för ämnes-DN (Subject Distinguished Name) kan också ändras under en identitets eller organisations livslängd.

För att lösa dessa problem tillhandahåller betrodd signering ett varaktigt identitetsvärde i varje certifikat som är associerat med prenumerationens identitetsverifieringsresurs. Värdet för varaktig identitet är en anpassad EKU som har prefixet 1.3.6.1.4.1.311.97. och följs av fler oktettvärden som är unika för identitetsverifieringsresursen som används i certifikatprofilen. Nedan följer några exempel:

  • Exempel på identitetsverifiering för offentligt förtroende

    Värdet 1.3.6.1.4.1.311.97.990309390.766961637.194916062.941502583 anger en betrodd signeringsprenumerant som använder identitetsverifiering för offentligt förtroende. Prefixet 1.3.6.1.4.1.311.97. är kodsigneringstypen Betrodd signering av offentligt förtroende. Värdet 990309390.766961637.194916062.941502583 är unikt för prenumerantens identitetsverifiering för offentligt förtroende.

  • Exempel på identitetsverifiering för privat förtroende

    Värdet 1.3.6.1.4.1.311.97.1.3.1.29433.35007.34545.16815.37291.11644.53265.56135 för anger en betrodd signeringsprenumerant som använder identitetsverifiering för privat förtroende. Prefixet 1.3.6.1.4.1.311.97.1.3.1. är kodsigneringstypen Betrodd signering av privat förtroende. Värdet 29433.35007.34545.16815.37291.11644.53265.56135 är unikt för prenumerantens identitetsverifiering för privat förtroende.

    Eftersom du kan använda identitetsvalidering av privat förtroende för kodintegritetssignering (CI) för Windows Defender Application Control (WDAC) har de ett annat EKU-prefix: 1.3.6.1.4.1.311.97.1.4.1.. Men suffixvärdena matchar värdet för varaktig identitet för prenumerantens identitetsverifiering för Privat förtroende.

Kommentar

Du kan använda varaktiga identitets-EKU:er i WDAC CI-principinställningar för att fästa förtroende på en identitet i Betrodd signering. Information om hur du skapar WDAC-principer finns i Använda signerade principer för att skydda Windows Defender-programkontroll mot manipulering och guiden Programkontroll i Windows Defender.

Alla betrodda certifikat för offentlig signering innehåller också EKU 1.3.6.1.4.1.311.97.1.0 :n som enkelt kan identifieras som ett offentligt betrott certifikat från betrodd signering. Alla EKU:er tillhandahålls utöver kodsignerings-EKU (1.3.6.1.5.5.7.3.3) för att identifiera den specifika användningstypen för certifikatkonsumenter. Det enda undantaget är certifikat som är certifikatprofiltypen För betrodd signering för privat förtroende ci-princip, där ingen kodsignering av EKU finns.

Livscykelhantering för zero-touch-certifikat

Betrodd signering syftar till att förenkla signeringen så mycket som möjligt för varje prenumerant. En viktig del i att förenkla signeringen är att tillhandahålla en helt automatiserad livscykelhanteringslösning för certifikat. Funktionen för hantering av certifikatets livscykelhantering med nolltouchcertifikat hanterar automatiskt alla standardcertifikatåtgärder åt dig.

Den innehåller:

  • Skydda nyckelgenerering, lagring och användning i FIPS 140-2 nivå 3 maskinvarukrypteringsmoduler som tjänsten hanterar.
  • Dagliga förnyelser av certifikat för att säkerställa att du alltid har ett giltigt certifikat att använda för att signera dina certifikatprofilresurser.

Alla certifikat som du skapar och utfärdar loggas i Azure-portalen. Du kan visa loggningsdataflöden som innehåller certifikatserienummer, tumavtryck, skapat datum, förfallodatum och status (till exempel Aktiv, Förfallen eller Återkallad) i portalen.

Kommentar

Betrodd signering stöder inte import eller export av privata nycklar och certifikat. Alla certifikat och nycklar som du använder i Betrodd signering hanteras i FIPS 140-2 Nivå 3-hanterade maskinvarukrypteringsmoduler.

Tidsstämpelräknare

Standardpraxis vid signering är att kontrasignera alla signaturer med en RFC 3161-kompatibel tidsstämpel. Eftersom betrodd signering använder kortlivade certifikat är tidsstämpelräknare viktigt för att en signatur ska vara giltig längre än signeringscertifikatets livslängd. En tidsstämpelräknare ger en kryptografiskt säker tidsstämpeltoken från en TIME Stamping Authority (TSA) som uppfyller standarderna för kraven för kodsigneringsbaslinje (CSBR).

En motsignering ger ett tillförlitligt datum och en tillförlitlig tid för när signeringen inträffade. Om tidsstämpelns motsignering ligger inom signeringscertifikatets giltighetsperiod och TSA-certifikatets giltighetsperiod är signaturen giltig. Det är giltigt långt efter att signeringscertifikatet och TSA-certifikatet upphör att gälla (såvida inte något av dem återkallas).

Betrodd signering ger en allmänt tillgänglig TSA-slutpunkt på http://timestamp.acs.microsoft.com. Vi rekommenderar att alla betrodda signeringsprenumeranter använder den här TSA-slutpunkten för att kontrasignera eventuella signaturer som de producerar.

Aktiv övervakning

Betrodd signering stöder passionerat ett hälsosamt ekosystem genom att använda aktiv övervakning av hotinformation för att ständigt leta efter fall av missbruk och missbruk av betrodda signeringsprenumeranternas Public Trust-certifikat.

  • För ett bekräftat fall av missbruk eller missbruk vidtar betrodd signering omedelbart de åtgärder som krävs för att minimera och åtgärda eventuella hot, inklusive riktat eller brett återkallande av certifikat och kontoavstängning.

  • Du kan utföra återkallningsåtgärder direkt i Azure-portalen för alla certifikat som loggas under en certifikatprofil som du äger.

Gå vidare