通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

受信任的签名证书管理

  • 项目

本文介绍受信任签名证书,包括其两个唯一属性、服务的零接触生命周期管理过程、时间戳副署的重要性,以及 Microsoft 主动威胁监视和吊销操作。

受信任签名服务中使用的证书遵循 X.509 代码签名证书的标准做法。 为了支持健康的生态系统,该服务包含对用于签名的 X.509 证书和非对称密钥的完全托管体验。 完全托管的受信任签名体验为受信任签名证书配置文件资源中的所有证书提供所有证书生命周期操作。

证书属性

受信任签名使用证书配置文件资源类型来创建和管理受信任签名客户用于签名的 X.509 v3 证书。 证书符合 RFC 5280 标准以及 Microsoft PKI 服务存储库中的相关 Microsoft PKI 服务证书策略 (CPS) 和认证实践声明 (CPS) 资源。

除了标准功能外,受信任签名中的证书配置文件还包括以下两个独特功能,可帮助减轻与误用或滥用证书签名相关的风险和影响:

  • 生存期较短的证书
  • 用于持久标识固定的订阅方标识验证扩展密钥使用 (EKU)

生存期较短的证书

为了帮助减少签名误用和滥用的影响,受信任签名证书按天续订,有效期仅为 72 小时。 这些生存期较短的证书使吊销操作可以像一天那样敏锐,也可以根据需要做到非常广泛,以涵盖任何误用和滥用事件。

例如,如果确定订阅方签名的代码是根据 Microsoft 如何标识恶意软件和潜在不受欢迎的应用程序定义的恶意软件或潜在不受欢迎的应用程序 (PUA),则吊销操作可以隔离,仅撤销对恶意软件或 PUA 签名的证书。 吊销仅影响在颁发当天使用该证书签名的代码。 吊销不适用于当天或之后签署的任何代码。

订阅者标识验证 EKU

常见做法是定期续订 X.509 最终实体签名证书以确保密钥安全。 由于受信任签名的每日证书续订,因此使用证书属性(例如公钥)或证书的指纹(证书哈希)将信任或验证固定到最终实体证书是不持久的。 此外,使用者可分辨名称(简称“使用者 DN”)值可能会在标识或组织的生存期内发生更改。

为了解决这些问题,受信任签名在每个与订阅的标识验证资源关联的证书中都提供持久标识值。 持久标识值是具有 1.3.6.1.4.1.311.97. 前缀的自定义 EKU,后跟证书配置文件中使用的标识验证资源特有的附加八位字节值。 以下是一些示例:

  • 公共信任标识验证示例

    1.3.6.1.4.1.311.97.990309390.766961637.194916062.941502583 值指示使用公共信任标识验证的受信任签名订阅者。 1.3.6.1.4.1.311.97. 前缀是受信任签名公共信任代码签名类型。 990309390.766961637.194916062.941502583 值对于订阅者的公共信任标识验证是唯一的。

  • 专用信任标识验证示例

    1.3.6.1.4.1.311.97.1.3.1.29433.35007.34545.16815.37291.11644.53265.56135 值指示使用专用信任标识验证的受信任签名订阅者。 1.3.6.1.4.1.311.97.1.3.1. 前缀是受信任签名专用信任代码签名类型。 29433.35007.34545.16815.37291.11644.53265.56135 值对于订阅者的专用信任标识验证是唯一的。

    由于可以使用专用信任标识验证进行 Windows Defender 应用程序控制 (WDAC) 代码完整性 (CI) 策略签名,因此它们具有不同的 EKU 前缀:1.3.6.1.4.1.311.97.1.4.1.。 但是,后缀值与订阅者的专用信任标识验证的持久标识值匹配。

注意

可使用 WDAC CI 策略设置中的持久标识 EKU 相应地将信任固定到受信任签名中的标识。 请参阅使用签名策略来保护 Windows Defender 应用程序控制免遭篡改Windows Defender 应用程序控制向导,了解 WDAC 策略创建过程。

所有受信任的签名公共信任证书还包含 1.3.6.1.4.1.311.97.1.0 EKU,以便从受信任的签名轻松将其标识为公开信任的证书。 所有 EKU 都是代码签名 EKU (1.3.6.1.5.5.7.3.3) 的补充,用于标识证书使用者的特定使用类型。 唯一的例外是,受信任签名专用信任 CI 策略证书配置文件类型的证书没有代码签名 EKU。

零接触证书生命周期管理

受信任签名旨在尽可能简化每个订阅者的签名。 简化签名的主要部分是提供完全自动化的证书生命周期管理解决方案。 受信任签名零接触证书生命周期管理功能会自动为用户处理所有标准证书操作。

其中包括:

  • 在由该服务管理的 FIPS 140-2 级别 3 硬件加密模块中保护密钥生成、存储和使用。
  • 每日续订证书,以确保始终具有用于对证书配置文件资源进行签名的有效证书。

创建和颁发的每个证书都记录在 Azure 门户中。 可以在门户中查看日志记录数据源,其中包括证书序列号、指纹、创建日期、到期日期和状态(例如“活动”、“已过期”或“已吊销”)

注意

受信任签名不支持导入或导出私钥和证书。 受信任签名中使用的所有证书和密钥都在 FIPS 140-2 级别 3 运行的硬件加密模块内管理。

时间戳副署

签名的标准做法是使用符合 RFC3161 的时间戳来副署所有签名。 由于受信任签名使用生存期较短的证书,因此时间戳副署对于使签名在签名证书的有效期之外保持有效至关重要。 时间戳副署会提供来自时间戳颁发机构 (TSA) 的加密安全时间戳令牌,符合代码签名基准要求 (CSBR) 中的标准要求。

副署提供可靠的签名日期和时间。 如果时间戳计数器位于签名证书的有效期和 TSA 证书的有效期内,则签名有效。 即使签名证书和 TSA 证书过期后很长一段也仍然有效(除非其中一个证书被吊销)。

受信任签名会在 http://timestamp.acs.microsoft.com 提供一个通用的 TSA 终结点。 建议所有受信任签名订阅者使用此 TSA 终结点来副署它们生成的任何签名。

主动监测

受信任的签名热情地支持健康的生态系统,它使用主动威胁情报监视来不断查找误用和滥用受信任的签名订阅方的公共信任证书的情况。

  • 如果存在确认的误用或滥用情况,则受信任签名会立即完成缓解和修正任何威胁的必要步骤,包括有针对性的或广泛的证书吊销和帐户暂停。

  • 可以直接在 Azure 门户中对所拥有的证书配置文件下记录的任何证书完成吊销操作。

下一步

设置受信任签名