Freigeben über

Trusted Signing-Zertifikatsverwaltung

  • Artikel

In diesem Artikel werden die Trusted Signing-Zertifikate beschrieben, einschließlich ihrer beiden einzigartigen Attribute, dem Prozess für die Lebenszyklusverwaltung von Zero-Touch-Zertifikaten, der Wichtigkeit von Zeitstempel-Gegensignaturen und Microsoft aktiven Bedrohungsüberwachung und den Sperraktionen.

Die in Trusted Signing verwendeten Zertifikate folgen den Standardpraktiken für x.509-Codesignaturzertifikate. Um ein fehlerfreies Ökosystem zu unterstützen, umfasst der Dienst eine vollständig verwaltete Erfahrung für die X.509-Zertifikate und asymmetrischen Schlüssel, die zum Signieren verwendet werden. Die vollständig verwaltete Benutzeroberfläche für die Trusted Signing stellt alle Zertifikatlebenszyklusaktionen für alle Zertifikate in einer Trusted Signing-Zertifikatprofilressource bereit.

Zertifikatsattribute

Trusted Signing verwendet den Ressourcentyp „Zertifikatsprofil“ zum Erstellen und Verwalten von X.509 v3-Zertifikaten, die Trusted Signing-Kunden für das Signieren verwenden. Die Zertifikate entsprechen dem RFC 5280-Standard und der relevanten Zertifikatsrichtlinie (Certificate Policy, CP) und den Zertifizierungspraxisanweisungen (Certification Practice Statements, CPS) für Microsoft PKI-Dienste, die im Microsoft PKI Services Repository gefunden werden.

Neben Standardfeatures umfassen Zertifikatprofile in Trusted Signing die folgenden beiden eindeutigen Features, um Risiken und Auswirkungen zu minimieren, die mit Missbrauch oder Missbrauch der Zertifikatsignierung verbunden sind:

  • Kurzlebige Zertifikate
  • Erweiterte Schlüsselverwendung (Extended Key Usage, EKU) für die Validierung der Abonnentenidentität für dauerhafte Identitätsanheftung

Kurzlebige Zertifikate

Um die Auswirkungen des Missbrauch des Signierens zu verringern, werden Trusted Signing-Zertifikate täglich erneuert und sind nur 72 Stunden gültig. In diesen kurzlebigen Zertifikaten können Sperraktionen so akut wie einen einzelnen Tag oder so umfassend wie nötig sein, um Vorfälle von Missbrauch abzudecken.

Wenn beispielsweise festgestellt wird, dass ein Abonnent Code signierte, der Schadsoftware oder eine PUA (potenziell unerwünschte Anwendung) war, wie durch So identifiziert Microsoft Schadsoftware und potenziell unerwünschte Anwendungen definiert, können die Sperraktionen isoliert werden, um nur das Zertifikat zu widerrufen, das die Schadsoftware oder PUA signiert hat. Der Widerruf betrifft nur den Code, der am Tag, an dem es ausgestellt wurde, mit diesem Zertifikat signiert wurde. Der Widerruf gilt nicht für Code, der vor diesem Tag oder nach diesem Tag signiert wurde.

EKU zur Abonnierungsidentitätsüberprüfung

Es ist üblich, dass X.509-Signaturzertifikate für die Endentität regelmäßig erneuert werden, um die Schlüsselintegrität sicherzustellen. Aufgrund der täglichen Zertifikaterneuerung durch Trusted Signing ist das Anheften der Vertrauensstellung oder die Validierung an ein Endentitätszertifikat mit Zertifikatsattributen (z. B. dem öffentlichen Schlüssel) oder einem Zertifikatfingerabdruck (Hash des Zertifikats) nicht dauerhaft. Außerdem können sich die Werte des Subject Distinguished Name (Subject DN) über die Lebensdauer einer Identität oder Organisation ändern.

Um diese Probleme zu adressieren, stellt Trusted Signing in jedem Zertifikat, das der Identitätsprüfungsressource des Abonnements zugeordnet ist, einen dauerhaften Identitätswert bereit. Der dauerhafte Identitätswert ist eine benutzerdefinierte EKU mit einem Präfix 1.3.6.1.4.1.311.97. und gefolgt von weiteren Oktett-Werten, die für die im Zertifikatsprofil verwendete Identitätsprüfungsressource eindeutig sind. Im Folgenden finden Sie einige Beispiele:

  • Beispiel für die Überprüfung der Öffentlichen Vertrauensidentität

    Ein Wert von 1.3.6.1.4.1.311.97.990309390.766961637.194916062.941502583, der angibt, dass ein Abonnent von Trusted Signing eine Überprüfung der Öffentlichen Vertrauensidentität verwendet. Das 1.3.6.1.4.1.311.97. Präfix ist der Signaturtyp "Trusted Signing für öffentliche Vertrauensstellung". Der 990309390.766961637.194916062.941502583 Wert ist für die Identitätsüberprüfung des Abonnenten für öffentliche Vertrauensstellung eindeutig.

  • Beispiel für die Überprüfung der Privaten Vertrauensidentität

    Ein Wert von 1.3.6.1.4.1.311.97.1.3.1.29433.35007.34545.16815.37291.11644.53265.56135, der angibt, dass ein Abonnent von Trusted Signing eine Überprüfung der Privaten Vertrauensidentität verwendet. Das 1.3.6.1.4.1.311.97.1.3.1. Präfix ist der Signaturtyp "Trusted Signing Private Vertrauensstellung". Der 29433.35007.34545.16815.37291.11644.53265.56135 Wert ist für die Identitätsüberprüfung des Abonnenten für private Vertrauensstellung eindeutig.

    Da Sie Private Trust-Identitätsüberprüfungen für die Codeintegritätsrichtliniensignatur (CI) von Windows Defender Application Control (WDAC) verwenden können, haben sie ein anderes EKU-Präfix: 1.3.6.1.4.1.311.97.1.4.1.. Die Suffixwerte stimmen jedoch mit dem dauerhaften Identitätswert für die Identitätsprüfung des Abonnenten für die private Vertrauensstellung überein.

Hinweis

Sie können die dauerhaften Identitäts-EKUs in den WDAC CI-Richtlinieneinstellungen verwenden, um das Vertrauen in eine Identität in Trusted Signing anzuheften. Informationen zur Erstellung von WDAC-Richtlinien finden Sie unter Verwenden signierter Richtlinien zum Schutz der Windows Defender-Anwendungssteuerung vor Manipulationen und Windows Defender-Assistent für die Anwendungssteuerung.

Alle Trusted Signing-Zertifikate für die öffentliche Vertrauensstellung enthalten auch die 1.3.6.1.4.1.311.97.1.0-EKU, um einfach als öffentlich vertrauenswürdiges Zertifikat von Trusted Signing identifiziert werden zu können. Alle EKUs sind zusätzlich zur Codesignieren-EKU (1.3.6.1.5.5.7.3.3) bereitgestellt, um den spezifischen Verwendungstyp für Zertifikatsconsumer zu identifizieren. Die einzige Ausnahme sind Zertifikate, die der Zertifikatprofiltyp "Trusted Signing Private Trust CI Policy" sind, in dem keine Codesignatur-EKU vorhanden ist.

Zero-Touch-Zertifikatslebenszyklusverwaltung

Trusted Signing zielt darauf ab, die Signierung für jeden Abonnenten so weit wie möglich zu vereinfachen. Ein wichtiger Teil der Vereinfachung des Signierens ist die Bereitstellung einer vollständig automatisierten Lösung für die Zertifikatslebenszyklusverwaltung. Das Lebenszyklusverwaltungsfeature für Trusted Signing von Zero-Touch-Zertifikaten verarbeitet automatisch alle Standardzertifikataktionen für Sie.

Sie hat folgenden Inhalt:

  • Sichere Schlüsselgenerierung, Speicherung und Nutzung in Hardwarekryptografiemodulen des Typs FIPS 140-2 Level 3, die vom Dienst verwaltet werden.
  • Tägliche Erneuerungen von Zertifikaten, um sicherzustellen, dass Sie immer über ein gültiges Zertifikat verfügen, mit dem Sie Ihre Zertifikatprofilressourcen signieren können.

Jedes Zertifikat, das Sie erstellen und ausstellen, wird im Azure-Portal protokolliert. Sie können Protokollierungsdatenfeeds anzeigen, die die Seriennummer des Zertifikats, den Fingerabdruck, das Erstellungsdatum, das Ablaufdatum und den Status (z. B. Aktiv, Abgelaufen oder Widerrufen) im Portal enthalten.

Hinweis

Trusted Signing unterstützt nicht das Importieren oder Exportieren privater Schlüssel und Zertifikate. Alle Zertifikate und Schlüssel, die in Trusted Signing verwendet werden, werden innerhalb von FIPS 140-2 Level 3-betriebenen Hardwarekryptografiemodulen verwaltet.

Zeitstempel-Gegensignaturen

Die Standardpraxis beim Signieren besteht darin, alle Signaturen mit einem RFC 3161-konformen Zeitstempel gegenzuzeichnen. Da Trusted Signing kurzlebige Zertifikate verwendet, ist die Zeitstempelzählersignierung für eine Signatur wichtig, die über die Lebensdauer des Signaturzertifikats hinaus gültig ist. Ein Zeitstempel-Gegensignatur stellt ein kryptografisch sicheres Zeitstempeltoken von einer Zeitstempelautorität (Time Stamping Authority, TSA) bereit, die den Standards der Codesignatur Baseline Requirements (CSBRs) entspricht.

Eine Gegensignatur bietet ein zuverlässiges Datum und eine zuverlässige Uhrzeit des Signierens. Wenn sich der Zeitstempelzähler innerhalb des Gültigkeitszeitraums des Signaturzertifikats und im Gültigkeitszeitraum des TSA-Zertifikats befindet, ist die Signatur gültig. Es ist lange gültig, nachdem das Signaturzertifikat und das TSA-Zertifikat ablaufen (es sei denn, es wird eine der beiden widerrufen).

Trusted Signing stellt einen allgemein verfügbaren TSA-Endpunkt bei http://timestamp.acs.microsoft.com. Es wird empfohlen, dass alle Abonnenten von Trusted Signing diesen TSA-Endpunkt verwenden, um Signaturen, die sie erstellen, abzumelden.

Aktive Überwachung

Trusted Signing unterstützt leidenschaftlich ein gesundes Ökosystem, indem die aktive Threat Intelligence-Überwachung verwendet wird, um ständig nach Fällen von Missbrauch der Zertifikate der öffentlichen Vertrauensstellung von Trusted Signing-Abonnenten zu suchen.

  • Für einen bestätigten Fall von Missbrauch, führt Trusted Signing sofort die erforderlichen Schritte aus, um Bedrohungen zu mindern und zu beheben, einschließlich gezielter oder umfassender Zertifikatssperrung und Kontosperrung.

  • Sie können Sperraktionen auch direkt über das Azure-Portal für alle Zertifikate ausführen, die unter einem Zertifikatprofil protokolliert werden, das Sie besitzen.

Nächster Schritt

Einrichten von Trusted Signing