Trusted Signing-Ressourcen und -Rollen
Trusted Signing ist eine native Azure-Ressource mit vollständiger Unterstützung für allgemeine Azure-Konzepte wie z. B. Ressourcen. Wie bei allen anderen Azure-Ressourcen verfügt auch Trusted Signing über einen eigenen Satz von Ressourcen und Rollen, welche die Verwaltung des Diensts vereinfachen sollen.
In diesem Artikel werden die Ressourcen und Rollen vorgestellt, die spezifisch für Trusted Signing sind.
Trusted Signing-Ressourcentypen
Trusted Signing weist die folgenden Ressourcentypen auf:
Trusted Signing-Konto: Das Konto ist ein logischer Container aller Ressourcen, die Sie brauchen, um das Signieren abzuschließen und Zugriffssteuerungen auf diese vertraulichen Ressourcen zu verwalten.
Identitätsprüfung: Die Identitätsprüfung führt die Überprüfung Ihrer Organisation oder Ihrer individuellen Identität durch, bevor Sie Code signieren können. Die überprüfte Organisation oder einzelne Identität ist die Quelle der Attribute für Ihr Zertifikatprofil Subject Distinguished Name (Subject DN) Werte (z. B
CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US). Identitätsprüfungsrollen werden Mandantenidentitäten zugewiesen, um diese Ressourcen zu erstellen.Zertifikatprofile: Ein Zertifikatprofil sind die Konfigurationsattribute, welche die Zertifikate generieren, die Sie zum Signieren von Code verwenden. Sie definieren auch das Vertrauensstellungsmodell und das Szenario, unter dem signierte Inhalte von vertrauenden Parteien konsumiert werden. Dieser Ressource werden Signierrollen zugewiesen, um Mandantenidentitäten zu autorisieren, die Signierung anzufordern. Eine Voraussetzung für die Erstellung eines Zertifikatprofils ist, dass mindestens eine Identitätsprüfungsanforderung abgeschlossen ist.
In der folgenden Beispielstruktur verfügt ein Azure-Abonnement über eine Ressourcengruppe. Unter der Ressourcengruppe können Sie über eine oder mehrere Trusted Signing-Kontoressourcen mit einer oder mehreren Identitätsprüfungen und Zertifikatprofilen verfügen.
Der Dienst unterstützt public Trust-, Private Trust-, Codeintegritäts-, Virtualisierungsbasierte Sicherheit (VBS)- und Public Trust-Testsignaturtypen, sodass es nützlich ist, mehrere Trusted Signing-Konten und Zertifikatprofile zu verwenden. Weitere Informationen zu den Zertifikatprofiltypen und deren Verwendung finden Sie unter Trusted Signing-Zertifikattypen und -Zertifikatverwaltung.
Hinweis
Identitätsprüfungen und Zertifikatprofile richten sich entweder an öffentliche oder private Vertrauensstellung aus. Eine Identitätsprüfung der öffentlichen Vertrauensstellung wird nur für Zertifikatprofile verwendet, die für das öffentliche Vertrauensstellungsmodell verwendet werden. Weitere Informationen finden Sie unter Trusted Signing-Vertrauensstellungsmodelle.
Trusted Signing-Konto
Das Trusted Signing-Konto ist ein logischer Container der Ressourcen, die zum Signieren von Zertifikaten verwendet werden. Trusted Signing-Konten können verwendet werden, um Grenzen eines Projekts oder einer Organisation zu definieren. In den meisten Fällen kann ein einziges Trusted Signing-Konto alle Signieranforderungen einer Person oder Organisation erfüllen. Möglicherweise möchten Sie viele Artefakte signieren, die über dieselbe Identität verteilt werden (z. B. Contoso News, LLC), aber es gibt möglicherweise Grenzen, die Sie im Hinblick auf den Zugriff auf die Signatur zeichnen möchten. Sie können ein Trusted Signing-Konto pro Produkt oder pro Team verwenden, um zu isolieren, wie ein Konto verwendet wird oder um die Signatur nachzuverfolgen. Sie können dieses Isolationsmuster jedoch auch auf Zertifikatprofilebene erreichen.
Identitätsprüfungen
Bei Identitätsprüfungen dreht sich alles um die Einrichtung der Identität für die Zertifikate, die zum Signieren verwendet werden. Es gibt zwei Typen: Private Vertrauensstellung und öffentliche Vertrauensstellung. Diese beiden Typen werden durch die Ebene der Identitätsprüfung definiert, die zum Abschließen der Erstellung einer Identitätsprüfungsressource erforderlich ist.
Öffentliche Vertrauensstellung bedeutet, dass alle Identitätswerte gemäß der Zertifizierungspraxisanweisung (Certification Practice Statement, CPS) für Microsoft PKI-Dienste von Drittanbietern überprüft werden müssen. Diese Anforderung entspricht den Erwartungen an öffentlich vertrauenswürdige Zertifikate für das Codesignieren.
Private Vertrauensstellung ist für die Verwendung in Situationen vorgesehen, in denen es etablierte Vertrauensstellung in einer privaten Identität über eine oder viele vertrauende Parteien (Consumer von Signaturen) oder intern in App-Steuerungs- oder Branchen (Line of Business, LoB)-Szenarien gibt. Bei Überprüfungen der privaten Vertrauensidentität gibt es eine minimale Überprüfung der Identitätsattribute (z. B. den
Organization UnitWert). Die Überprüfung ist eng mit dem Azure-Mandanten des Abonnenten verknüpft (z. B.Costoso.onmicrosoft.com). Die Werte in Zertifikatprofilen für private Vertrauensstellungen werden nicht über die Azure-Mandanteninformationen hinaus überprüft.
Weitere Informationen zu öffentlichen Vertrauensstellungen und privaten Vertrauensstellungen finden Sie unter Trusted Signing-Vertrauensmodelle.
Zertifikatprofile
Trusted Signing stellt insgesamt fünf Zertifikatprofiltypen bereit, die alle Abonnenten mit den ausgerichteten und abgeschlossenen Identitätsprüfungsressourcen verwenden können. Diese fünf Zertifikatprofile werden wie folgt an Identitätsprüfungen für öffentliche oder private Vertrauensstellungen ausgerichtet:
- Öffentliche Vertrauensstellung
Öffentliche Vertrauensstellung: Wird für das Signieren von Code und Artefakten verwendet, die öffentlich verteilt werden können. Dieses Zertifikatprofil ist standardmäßig auf der Windows-Plattform für die Codesignierung vertrauenswürdig.
VBS-Enklave: Wird zum Signieren virtualisierungsbasierter Sicherheitsenklaven unter Windows verwendet.
Test der öffentlicher Vertrauensstellung: Wird nur für das Testsignieren verwendet und ist standardmäßig nicht öffentlich vertrauenswürdig. Betrachten Sie das Testzertifikatprofil für die öffentliche Vertrauensstellung als hervorragende Option für die Signierung der inneren Schleifenerstellung.
Hinweis
Alle Zertifikate mit dem Zertifikatprofiltyp für den Test der öffentlichen Vertrauensstellung enthalten die Lebensdauer-EKU (
1.3.6.1.4.1.311.10.3.13), welche die Validierung dazu zwingt, die Lebensdauer des Signaturzertifikats unabhängig vom Vorhandensein einer gültigen Gegensignatur mit Zeitstempel zu respektieren.
- Private Vertrauensstellung
- Private Vertrauensstellung: Wird zum Signieren interner oder privater Artefakte verwendet, z. B. LoB-Anwendungen und Container. Sie können es auch zum Signieren von Katalogdateien in App Control for Business verwenden.
- CI-Richtlinie für private Vertrauensstellung: Das Zertifikatprofil der CI-Richtlinie für die private Vertrauensstellung ist der einzige Typ, der NICHT die Codesignieren-EKU (
1.3.6.1.5.5.7.3.3) enthält. Dieses Zertifikatprofil wurde für das Signieren von App Control for Business CI-Richtliniendateien entwickelt.
Unterstützte Rollen
Rollenbasierte Zugriffssteuerung (RBAC) ist ein Eckpfeilerkonzept für alle Azure-Ressourcen. Trusted Signing fügt zwei benutzerdefinierte Rollen hinzu, um die Anforderungen von Abonnenten für die Erstellung einer Identitätsprüfung (identitätsprüfende Person für Trusted Signing) und das Signieren mit Zertifikatprofilen (kontosignierende Person für Trusted Signing-Zertifikate) zu erfüllen. Diese benutzerdefinierten Rollen müssen explizit zugewiesen werden, um diese beiden kritischen Funktionen bei Verwendung Trusted Signing auszuführen. Die folgende Tabelle enthält eine vollständige Liste der Rollen, die die vertrauenswürdige Signatur unterstützt, und deren Funktionen, einschließlich aller Standardmäßigen Azure-Rollen.
| Role | Verwalten und Anzeigen von Konten | Verwalten von Zertifikatprofilen | Signieren mithilfe eines Zertifikatprofils | Signierungsverlauf anzeigen | Verwalten einer Rollenzuweisung | Verwalten einer Identitätsüberprüfung |
|---|---|---|---|---|---|---|
| Identitätsprüfende Person für Trusted Signing1 | X | |||||
| Kontosignierende Person für Trusted Signing-Zertifikate2 | X | X | ||||
| Besitzer | X | X | X | |||
| Mitwirkender | X | X | ||||
| Leser | X | |||||
| Administrator für Benutzerzugriff | X |
1 Erforderlich zum Erstellen oder Verwalten der Identitätsüberprüfung. Nur im Azure-Portal verfügbar.
2 Erforderlich, um erfolgreich mit Trusted Signing zu signieren.
Zugehöriger Inhalt
- Schließen Sie die Schnellstartanleitung zum Einrichten von Trusted Signing ab.
- Erfahren Sie mehr über Trusted Signing-Modelle.
- Überprüfen Sie das Konzept der Trusted Signing-Zertifikate und -Verwaltung.