你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
受信任签名资源和角色
受信任签名是一种 Azure 本机资源,完全支持常见的 Azure 概念,例如资源。 与任何其他 Azure 资源一样,受信任签名有自身的一组资源和角色,旨在简化服务管理。
本文介绍特定于受信任签名的资源和角色。
受信任签名资源类型
受信任的签名具有以下资源类型:
受信任签名帐户:帐户是所有资源的逻辑容器,完成签名和管理对敏感资源的访问控制时需要这些资源。
身份验证:身份验证对你的组织或个人身份执行验证之后,你才可以为代码签名。 已验证的组织或个人身份是证书配置文件使用者可分辨名称(使用者 DN)值(例如,
CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US)的属性的来源。 身份验证角色将分配到租户身份以创建这些资源。证书配置文件:证书配置文件是生成证书(用来为代码签名)的配置属性。 它还定义了可供信赖方使用签名内容的信任模型和方案。 签名角色将分配到此资源,以授权租户身份请求签名。 创建任何证书配置文件的先决条件之一是至少完成一个身份验证请求。
在以下示例结构中,Azure 订阅有一个资源组。 在资源组下,可以有一个或多个受信任签名帐户资源,以及一个或多个身份验证和证书配置文件。
该服务支持公共信任、专用信任、代码完整性 (CI) 策略、基于虚拟化的安全性 (VBS) Enclave 和公共信任测试签名类型,因此拥有多个受信任签名帐户和证书配置文件会很有用。 有关证书配置文件类型及其用法的详细信息,请查看受信任签名证书类型和管理。
注意
身份验证和证书配置文件与公共信任或专用信任保持一致。 公共信任身份验证仅用于公共信任模型使用的证书配置文件。 有关详细信息,请参阅受信任签名信任模型。
受信任签名帐户
受信任签名帐户是用于完成证书签名的资源的逻辑容器。 受信任签名帐户可用于定义项目或组织的边界。 对于大多数人而言,单个受信任签名帐户可以满足个人或组织的所有签名需求。 你可能需要对同一身份(例如,Contoso News, LLC)分发的许多项目进行签名,但在操作上,你可能希望在签名访问方面划定边界。 你可能会选择为每个产品或每个团队创建一个受信任签名帐户,以隔离帐户的使用或跟踪签名。 但是,也可以在证书配置文件级别实现这种隔离模式。
身份验证
身份验证就是在用于签名的证书上建立身份。 有两种类型:公共信任和专用信任。 这两种类型是由完成身份验证资源创建操作所需的身份验证级别来定义的。
公共信任是指所有身份值都必须根据 Microsoft PKI 服务第三方认证实践声明 (CPS) 进行验证。 此要求符合公众信任的代码签名证书的预期。
专用信任适用于在一个或多个信赖方(签名使用者)之间的或者在应用控制或业务线 (LOB) 方案内部的专用身份中建立信任的情况。 使用专用信任标识验证时,对标识属性(例如,
Organization Unit值)进行最少的验证。 验证与订阅者的 Azure 租户(例如,Contoso.onmicrosoft.com)紧密关联。 除了 Azure 租户信息之外,不会验证专用信任证书配置文件中的值。
有关公共信任和专用信任的详细信息,请参阅受信任签名信任模型。
证书配置文件
受信任签名总共提供五种证书配置文件类型,所有订阅者都可以将其与一致且完整的身份验证资源一起使用。 这五个证书配置文件与公共信任或专用信任身份验证保持一致,如下所述:
- 公共信任
公共信任:用于对可公开分发的代码和项目进行签名。 在 Windows 平台上,默认信任此证书配置文件进行代码签名。
VBS Enclave:用于对 Windows 上基于虚拟化的安全性 Enclave 进行签名。
公共信任测试:仅用于测试签名,默认情况下不受公众信任。 将公共信任测试证书配置文件视为内部循环生成签名的绝佳选择。
注意
此公共信任测试证书配置文件类型下的所有证书都包括生存期 EKU (
1.3.6.1.4.1.311.10.3.13) 强制验证,以遵循签名证书的生存期,无论是否存在有效的时间戳副署。
- 专用信任
- 专用信任:用于为内部或专用项目(例如 LOB 应用程序和容器)签名。 还可以使用它对面向企业的应用控制中的目录文件进行签名。
- 专用信任 CI 策略:专用信任 CI 策略证书配置文件是唯一不包括代码签名 EKU (
1.3.6.1.5.5.7.3.3) 的类型。 此证书配置文件专门用于为面向企业的应用控制 CI 策略文件进行签名。
支持的角色
基于角色的访问控制 (RBAC) 是所有 Azure 资源的基石概念。 受信任签名添加了两个自定义角色,以满足订阅者创建标识验证(受信任签名标识验证程序角色)和使用证书配置文件签名(受信任签名证书配置文件签名程序角色)的需求。 必须显式分配这些自定义角色才能在使用受信任签名时执行这两个关键功能。 下表包含受信任签名支持的角色(包括所有标准 Azure 角色)及其功能的完整列表。
| 角色 | 管理和查看帐户 | 管理证书配置文件 | 使用证书配置文件进行签名 | 查看签名历史记录 | 管理角色分配 | 管理身份验证 |
|---|---|---|---|---|---|---|
| 受信任签名标识验证程序1 | X | |||||
| 受信任签名证书配置文件签名程序2 | X | X | ||||
| 所有者 | X | X | X | |||
| 参与者 | X | X | ||||
| 读取器 | X | |||||
| 用户访问权限管理员 | X |
1 创建或管理标识验证所必需的。 仅在 Azure 门户中提供。
2 需要具有此角色才能使用受信任签名成功完成签名。
相关内容
- 完成快速入门以设置受信任签名。
- 了解受信任签名信任模型。
- 查看受信任签名证书和管理的概念。