Upgradujte podpisový klíč, aby vyhovoval standardu FIPS

V tomto článku si projdeme postup upgradu podpisových klíčů ověřených ID od Microsoft Entra tak, aby vyhovoval standardu FIPS. Většina úřadů je již v souladu se standardem FIPS. Jsou to pouze autority vytvořené před únorem 2024 pomocí metody Rozšířené nastavení, které potřebují aktualizaci podpisového klíče. Autority „Quick Setup“ jsou už kompatibilní se standardem FIPS a používají podpisové klíče P-256.

Musím upgradovat?

Typ klíče P-256K nevyhovuje standardu FIPS. Pokud chcete, aby váš ověřený systém ID splňoval předpisy FIPS a používáte klíč P-256K, musíte podpisový klíč upgradovat.

Co se stane, když se nemusím stát kompatibilním se standardem FIPS?

Společnost Microsoft doporučuje, abyste přesto upgradovali, protože podpora podpisového klíče P-256K v ověřeném ID může být v budoucnu ukončena.

Jak zjistím, jestli je potřeba upgradovat?

1. Zkontrolujte, zda byla vaše autorita nastavena pomocí Advanced Setup. Pokud váš DID nezačínádid:web:verifiedid.entra.microsoft.com, byl nastaven pomocí metody Advanced Setup. Svoje DID můžete zkontrolovat v Organization settings nebo prostřednictvím API pro správu Získat autorizaci .

2. Zkontrolujte, jestli vaše autorita používá podpisový klíč P-256K/secp256k1. Typ klíče můžete určit dvěma způsoby:

   1. Ve službě Azure Key Vault pro identifikátor podpisového klíče zkontrolujte, jestli má Elliptic curve name hodnotu P-256K. Váš klíč služby Key Vault je viditelný v poli Signing key identifier na Organization settings na portálu.

   2. Prohlédněte si dokument DID, zkontrolujte první položku kolekce verificationMethod a podívejte se, že atribut crv má hodnotu secp256k1. Dokument DID můžete načíst prostřednictvím adresy URL https://<your-domain>/.well-known/did.json.

Požadavky pro upgrade

• Uživatel s právy správce provádějící upgrade klíčů musí mít oprávnění ke klíčům ve službě Key Vault.

Aktualizace podpisového klíče

Upgrade podpisového klíče je sedmistupňová operace:

1. Voláním didInfo/signingKeys API vytvořte nový podpisový klíč P-256 ve službě Key Vault. Přístupový token ve volání musí být určený pro uživatele správce s přístupem ke klíčům v trezoru klíčů. Atribut didDocumentStatus autority se změní na hodnotu outOfSync, která indikuje, že došlo k nesrovnalostem mezi službou Key Vault a veřejně dostupným dokumentem did.json.

2. Voláním generateDIDDocument API vygenerujte nový dokument DID. Uložte odpověď jako soubor s názvem did.json. Vygenerovaný dokument DID obsahuje nový klíč P-256 i starý klíč P-256K.

3. Nahraďte did.json na všech webových serverech, na kterých byla dříve nasazena. Než budete pokračovat, ujistěte se, že můžete nový did.json dokument načíst z veřejného internetu pomocí prohlížeče.

4. Zavolejte API rozhraní synchronizace s dokumentem DID a začněte používat nový podpisový klíč P-256. Toto volání rozhraní API ověří, jestli se služba Key Vault a veřejný did.json dokument shodují. Pokud se shodují, autorita ověřeného ID začne podpisovat pomocí nového klíče ve službě Key Vault. Od tohoto okamžiku vaše autorita podepíše pomocí nového klíče P-256. Protože váš dokument DID obsahuje také jeden nebo více starých klíčů P-256K a dříve vydané přihlašovací údaje byly podepsány klíčem P-256K, tyto certifikáty nadále fungují při prezentacích. didDocumentStatus ve vrácených objektech JSON autority má hodnotu published. Pokud je hodnota stále outOfSync, došlo k rozporu mezi službou Key Vault a dokumentem did.json a předchozí klíč se stále používá k podepisování.

5. Zavolejte rozhraní generateWellKnownDidConfiguration k opětovnému vygenerování konfigurace propojené domény. Uložte odpověď jako soubor s názvem did-configuration.json. Technicky vzato byste tento krok mohli zpozdit jako staré klíče P-256K, které byly použity k podepsání konfigurace propojené domény, jsou stále k dispozici v dokumentu DID. Tento krok je dobrým testem, že je nový podpisový klíč aktivní.

6. Nahraďte did-configuration.json na všech webových serverech, na kterých byla dříve nasazena. Než budete pokračovat, ujistěte se, že můžete nový did-configuration.json dokument načíst z veřejného internetu pomocí prohlížeče.

7. Voláním validateWellKnownDidConfiguration rozhraní API nastavte stav propojené domény na verified.

Úvahy po upgradu

Všechny podpisové aktivity, jako jsou vydávání přihlašovacích údajů nebo žádosti o prezentaci, jsou teď podepsané novým klíčem P-256.

Přihlašovací údaje vydané před upgradem podpisového klíče jsou podepsané starým klíčem P-256K. Tyto přihlašovací údaje nadále fungují, pokud máte staré klíče P-256K v dokumentu DID. Pokud přijde čas na opětovné spuštění těchto přihlašovacích údajů, jsou podepsané pomocí nového klíče P-256.

Nakonec nemáte žádné přihlašovací údaje podepsané starým klíčem, protože jejich platnost vyprší a budou vydány nové. Pokud vaše přihlašovací údaje mají dlouhou životnost před vypršením jejich platnosti a chcete přestat používat starý klíč P-256K, měli byste zvážit, abyste uživatelům předem řekli, aby znovu používali.

Pokud chcete z dokumentu DID odebrat staré klíče P-256K, ujistěte se, že uživatelé znovu použili svoje přihlašovací údaje. Potom ve službě Key Vault zakažte staré klíče P-256K a znovu vygenerujte a znovu nasaďte dokument DID.

Další kroky

• kurz vydávání ověřitelných přihlašovacích údajů