Preguntas más frecuentes sobre la firma de artefactos

Obtenga respuestas a preguntas comunes sobre el servicio de firma de artefactos.

Comienza

¿Qué versiones de Windows admite la firma de artefactos?

El servicio de firma de artefactos admite todas las versiones de Windows que son compatibles con la directiva de seguridad general de integridad de código en modo de usuario (UMCI).

La compatibilidad con archivos binarios firmados se agregó en la actualización de lista de confianza de certificados (CTL) de julio de 2021 para Windows. En un escenario típico, cuando se encuentra un certificado de entidad final de una cadena en un equipo, el sistema recupera el certificado de entidad de certificación raíz (CA) y lo agrega al almacén raíz de confianza.

Para obtener más información sobre la compatibilidad de Windows con la firma de artefactos, vea Compatibilidad con Windows del programa de firma de artefactos.

¿Cómo concedo acceso a la API para la firma de artefactos en Microsoft Entra?

Pida al administrador de Microsoft Entra que apruebe la solicitud de acceso. Para más información sobre los permisos, consulte estos artículos:

• Información general sobre consentimiento y permisos
• Configuración del flujo de trabajo de consentimiento del administrador
• Revisión de los permisos concedidos a las aplicaciones

¿Qué ocurre si no encuentro Microsoft.CodeSigning como proveedor de recursos?

Para registrar la aplicación Microsoft.CodeSigning, vaya a la suscripción panel Proveedores de recursos tal y como se muestra en este ejemplo:

¿Puedo usar la firma de artefactos con una suscripción de Azure gratuita, de prueba o patrocinada?

No. Artifact Signing no admite suscripciones de Azure gratuitas, de prueba o patrocinadas. Para crear una cuenta de Artifact Signing y perfiles de certificado, debe tener una suscripción de pago a Azure. Si intenta crear una cuenta de Artifact Signing o un perfil de certificado con un tipo de suscripción no compatible, el Azure Portal mostrará un error. Para empezar, actualice su suscripción a una de pago por uso o a un contrato Contrato Enterprise y, a continuación, vuelva a intentar crear sus recursos de Artifact Signing.

¿Cuál es el costo de usar la firma de artefactos?

• Para obtener información sobre los precios, consulte Precios de firma digital de artefactos.

¿Cuáles son mis opciones de soporte técnico al configurar la firma de artefactos?

• Puede crear una incidencia de soporte técnico en Azure Portal para obtener soporte técnico de Azure. Además, puede publicar una pregunta o buscar preguntas relacionadas en Microsoft Q&A (use la etiqueta firma de artefactos) o Stack Overflow (use la etiqueta firma de confianza).

Validación de identidades

¿Qué ocurre si necesito crear otra validación de identidad para la misma organización con una dirección de correo electrónico principal diferente?

En los casos en los que existe la validación de identidad con una dirección de correo electrónico principal y se requiere otra solicitud de validación de identidad, póngase en contacto con el soporte técnico para continuar con la incorporación.

¿Qué ocurre si mi país o región no aparece en la lista desplegable país o región en la página Validación de identidad?

• En el caso de los certificados de confianza pública, la firma de artefactos está disponible actualmente para las organizaciones de Estados Unidos, Canadá, la Unión Europea y Reino Unido, así como para desarrolladores individuales de Estados Unidos y Canadá. Esta limitación no es aplicable a los certificados de confianza privada.

¿Qué ocurre si el nombre del firmante de artefactos es diferente del nombre en mi certificado y ahora el nombre del paquete MSIX es diferente?

• Para los paquetes MSIX de la aplicación de Windows, siga las instrucciones de identidad persistente MSIX.

¿Puedo usar un CN personalizado o una O personalizada con la firma de artefactos?

• No, no puede usar un nombre común (CN) personalizado ni una organización (O) personalizada con la firma de artefactos. Actualmente, el servicio de firma de artefactos no admite la personalización. Además, tenga en cuenta que según el foro del explorador de entidades de certificación (CA/Foro de explorador) en los requisitos de línea de base de firma de código (CSBR) para los certificados de firma de código de confianza pública, los valores CN siempre deben ser el nombre validado de la entidad legal (por ejemplo, Contoso Corporation).

¿Qué ocurre si el botón "Nueva validación de identidad" en Azure Portal está inactivo?

• Si el botón Nueva validación de identidad en el portal de Azure está inactivo y no puede seleccionarlo, no tiene asignado el rol Verificador de identidad de firma de artefactos a su cuenta. Para asignarse el rol, complete los pasos descritos en Asignación de roles en la firma de artefactos.

¿Qué hago si mi validación de identidades ha expirado?

• Si no renueva la validación de identidad antes de la fecha de expiración, la renovación del certificado se detiene. Todos los procesos de firma asociados a esos perfiles de certificado específicos se detienen. Para continuar firmando mediante el servicio de Firma de Artefactos, cree otra validación de identidad y asóciela con los perfiles de certificados pertinentes. Se envían varios recordatorios a partir de 60 días antes de la fecha de expiración de una validación de identidad para ayudarle a comenzar el proceso de renovación de la validación de identidad.

¿Qué ocurre si se produce un error en la validación de identidades de la organización?

• Asegúrese de no perder un vínculo de verificación por correo electrónico que se envió a la dirección de correo electrónico principal que escribió al crear la solicitud de validación de identidad. El vínculo expira después de siete días. Si ha pasado por alto el correo electrónico o si no ha seleccionado el vínculo en el correo electrónico en un plazo de siete días, cree una nueva solicitud de validación de identidad.
• Si se produce un error en la validación de identidades, pero no debido a una comprobación de correo electrónico perdida, el equipo de validación de Microsoft no pudo realizar una determinación sobre la solicitud en función de la información proporcionada. Incluso si proporcionas documentación adicional cuando te la solicitemos, si no podemos validar la información, no podemos darte de alta en Artifact Signing. En este escenario, se recomienda eliminar la cuenta de Artifact Signing para evitar ser facturado por los recursos no utilizados.
• En los casos en los que se requerían documentos adicionales, ha agotado los tres intentos. Por lo tanto, no podemos continuar con la incorporación.

¿Qué ocurre si necesito ayuda con la validación de identidades?

• Para preguntas sobre la validación de identidad en la firma de artefactos, póngase en contacto con nosotros a través de Soporte técnico de Azure o con Microsoft Q&A (use la etiqueta firma de artefactos).
• Nota: La creación de más solicitudes de validación de identidad para la misma entidad que está en curso no ayuda. No se pueden acelerar las solicitudes de validación de identidad.

¿Qué ocurre si el vínculo de validación del correo electrónico ha expirado?

• Si no ha realizado clic en la comprobación de correo electrónico en un plazo de siete días, debe iniciar una nueva solicitud de validación de identidad. No se puede volver a enviar un vínculo nuevo en la misma solicitud.

¿Qué ocurre si la validación de correo electrónico indica "Error" y cree que nunca ha recibido el vínculo de validación de correo electrónico?

• Cree otra solicitud de validación de identidad. Asegúrese de que la dirección de correo electrónico usada no es una lista de distribución y la dirección de correo electrónico puede recibir vínculos de direcciones de correo electrónico externas.

¿Dónde puedo encontrar el identificador de validación de identidad?

• En la página «Validación de identidad», seleccione la validación de identidad que desea usar. El id. de validación de identidad se muestra como "Id" en el panel de detalles que se abre.

¿Qué ocurre si ya tengo un identificador comprobado?

• Siga los pasos para presentar la VID válida (no expirada) existente para la firma de artefactos.

Para la validación de identidad individual, ¿qué ocurre si no tengo una dirección en un extracto bancario o una factura de utilidad?

• Asegúrese de usar un identificador emitido por el gobierno con una dirección en ella para pasar correctamente por el proceso.

Para la validación de identidad individual, veo un error: "No tiene permiso para acceder a esta página".

• Si ve el error, se debe a que la dirección de correo electrónico especificada en la solicitud de validación de identidad individual es diferente de la que se usa para iniciar sesión para acceder al vínculo de validación de identidad. Asegúrese de que ambas direcciones de correo electrónico coinciden.
  

Perfiles de certificado

¿Qué ocurre si el nombre del firmante de artefactos es diferente del nombre en mi certificado y ahora el nombre del paquete MSIX es diferente?

• Para los paquetes MSIX de la aplicación de Windows, siga las instrucciones de identidad persistente MSIX.

¿La eliminación de un perfil de certificado revoca los certificados?

• La eliminación de un perfil de certificado no revoca ningún certificado emitido previamente ni invalida sus firmas; siguen siendo válidos.

¿Puedo agregar el campo de unidad organizativa al perfil de certificado de confianza pública, de prueba de confianza pública o de enclave de VBS?

• No. La unidad organizativa solo está disponible para los certificados de directiva de confianza privada y de CI de confianza privada.

de firma

¿Por qué falla al hacer doble clic en Artifact Signing .vsix con "InvalidSignature" o una NullReferenceException?

La extensión de firma de artefactos (VisualStudioClient.ArtifactSigning) es una extensión de tarea Azure DevOps, no una extensión de IDE de Visual Studio. Ambos se distribuyen como archivos .vsix, pero no son intercambiables, y VSIXInstaller.exe solo admite extensiones del IDE; al ejecutarlo con el paquete Artifact Signing, falla con un error engañoso SignatureState: InvalidSignature y System.NullReferenceException. El certificado de firma es válido; el instalador es la herramienta incorrecta y no hay ningún flujo de trabajo de instalación local para esta extensión.

• Desde una canalización de Azure DevOps: instale la extensión en su organización desde Marketplace y, después, haga referencia a la tarea AzureArtifactSigning@<version>. Consulte Instalar extensiones para Azure DevOps para conocer las rutas de instalación admitidas (la interfaz de usuario de Marketplace y az devops extension); ambas se dirigen a una organización de Azure DevOps.
• Sin Azure Pipelines (estación de trabajo, agente autohospedado, otro sistema de CI): use SignTool, PowerShell, Acciones de GitHub o el SDK de firma de artefactos.

¿Qué puedo esperar cuando veo mensajes de SmartScreen para archivos firmados?

La reputación de SmartScreen se acumula automáticamente. El mensaje deja de aparecer una vez que el hash de archivo tiene suficiente historial de descargas. Para obtener más información, consulte la documentación sobre la reputación de SmartScreen para desarrolladores de aplicaciones de Windows. Si sigue recibiendo mensajes de SmartScreen para la aplicación, considere la posibilidad de enviar el archivo firmado a través de Seguridad de Microsoft Intelligence para su posterior revisión.

¿Qué tipos de archivos podemos firmar mediante la firma de artefactos?

Puede firmar todos los tipos de archivo que SignTool admite.

¿Cuál es el nivel de cumplimiento de la firma de artefactos?

FIPS 140-2 Nivel 3.

¿Cómo incluyo el EKU adecuado para nuestros certificados en los recursos del controlador ELAM?

Para obtener información sobre la configuración del controlador Antimalware de inicio temprano (ELAM) para proteger los servicios en modo de usuario antimalware, vea las instrucciones siguientes:

A partir de 2022, todos los archivos binarios del servicio antimalware del modo de usuario deben estar firmados por Microsoft Artifact Signing. El certificado Authenticode emitido por Artifact Signing para firmar binarios antimalware es válido durante tres días por motivos de seguridad. Para evitar la necesidad de actualizar el controlador ELAM cada vez que se actualiza el certificado, se recomienda que los proveedores antimalware incluyan el hash TBS del certificado PCA de firma de artefactos en la parte CertHash del archivo de recursos del controlador ELAM. Además, el proveedor de antimalware debe incluir en el campo EKU de la información del archivo de recursos su identidad EKU única para la firma de artefactos. La identidad de EKU comienza con el prefijo 1.3.6.1.4.1.311.97.*".

Para obtener el certificado PCA 2021 de firma de código comprobado de id. de Microsoft, vea el Repositorio de servicios PKI de Microsoft.

¿Qué ocurre si ejecutamos archivos binarios firmados mediante la firma de artefactos en un equipo que no tiene la actualización de firma de artefactos (especialmente archivos binarios marcados para /INTEGRITYCHECK)?

• Si se establece una marca /INTEGRITYCHECK, la firma del usuario no se valida en tiempo de ejecución y no se ejecuta con /INTEGRITYCHECK.
• Para verificar si está instalada la actualización de firma de artefactos, le recomendamos que compruebe uno de sus archivos DLL empaquetados que estén vinculados con /INTEGRITYCHECK. Puede usar una versión de prueba. De este modo, puede completar la comprobación y determinar la disponibilidad de nuestros archivos binarios vinculados /INTEGRITYCHECK fuera de la plataforma.

Mi certificado de Sectigo expira pronto. ¿Puedo obtener uno nuevo o tengo que usar Artifact Signing?

Actualmente, no se amplían los certificados firmados entre firma. Debe firmar mediante el servicio de firma de artefactos.

¿En qué se diferencia la firma de artefactos de la firma que realizan los partners en el Centro de partners?

La firma con el Centro de partners es una firma en modo kernel (sin cambios tras la introducción de la firma de artefactos). Firme los archivos binarios en modo de usuario mediante la firma de artefactos. Para las aplicaciones que interactúan con el servicio Seguridad de Windows Center (WSC), debe incluir el bit de integridad de código (/INTEGRITYCHECK). Sin la firma de artefactos, no puede registrarse en el WSC, y Windows Defender se ejecuta en paralelo.

¿Cómo se obtiene el certificado Authenticode?

El certificado Authenticode que se usa para firmar con el perfil nunca se le entrega. Todos los certificados se almacenan de forma segura en el servicio y solo se puede acceder a ellos en el momento de la firma. El certificado público siempre se incluye en cualquier archivo binario firmado por el servicio.

¿Cómo puedo comprobar si el servicio de marca de tiempo es correcto?

Ejecute el siguiente comando: curl http://timestamp.acs.microsoft.com. Si se devuelve el código de estado 200, el servicio de marca de tiempo está funcionando correctamente.

Obtengo errores cuando realizo la firma de confianza privada. ¿Qué debo hacer?

Si recibe un error interno, compruebe que el nombre de CN que ha usado coincide con el nombre del certificado. Compruebe el nombre del paquete y copie el valor completo del asunto de Azure Portal en el archivo de manifiesto durante la firma.

Veo el estado "Comando correcto" para SignTool, pero el archivo no parece estar firmado al comprobar la firma digital. ¿Qué debo hacer?

Si la firma no aparece en la propiedad de firma digital, ejecute este comando: .\signtool.exe verify /v /debug /pa fileName. No todos los tipos de archivo incluyen la pestaña Firma en las Propiedades.

¿Cómo se corrigen las credenciales emergentes en una máquina virtual de Azure al ejecutar el comando SignTool + dlib?

1. Cree una identidad administrada asignada por el usuario.
2. Agregue la identidad administrada asignada por el usuario a la máquina virtual:
   1. Seleccione la máquina virtual.
   2. En el menú de la izquierda, seleccione Identidad y, a continuación, seleccione Usuario asignado.
   3. Seleccione Agregar para agregar la identidad administrada.
3. En el grupo de recursos (o suscripción) que tiene el rol de firmante del perfil de certificado de firma de artefactos, añada la identidad administrada asignada por el usuario al rol. Vaya a Control de acceso (IAM)>Asignaciones de roles para asignar el rol correcto.

¿Cómo se corrigen las credenciales emergentes al usar Google Cloud Platform?

• Dado que Google Cloud Platform (GCP) no tiene un recurso de identidad administrada de Azure de forma predeterminada, es necesario configurar una credencial de entorno. Use la clase EnvironmentCredential para configurar la credencial. Se recomienda usar estas variables:

  • AZURE_TENANT_ID para el identificador de inquilino (directorio) de Microsoft Entra.
  • AZURE_CLIENT_ID para el identificador de cliente (aplicación) de un registro de aplicación en el inquilino.
  • AZURE_CLIENT_SECRET para un secreto de cliente generado para el registro de la aplicación.

• Para crear un identificador de cliente y un secreto, siga las instrucciones que se indican en Creación de una entidad de servicio.

• Después de crear el identificador de cliente y el secreto, vaya al grupo de recursos (o suscripción) que tiene el rol de firmante del perfil de certificado de firma de artefactos y añada la aplicación a dicho rol.

¿Qué pasa si mi cuenta de Firma de Artefactos es suspendida?

Si un certificado se usa incorrectamente o se abusa de conformidad con los Términos de Uso del servicio, el Servicio de Firma de Artefactos suspende la cuenta o revoca un certificado de firma, o ambos. En este caso, nos pondremos en contacto con usted directamente y seguiremos las directrices de los CSBR de CA/Browser Forum.

¿Qué ocurre si cambio el identificador de suscripción o el identificador de inquilino?

Actualmente, los recursos de firma de artefactos no se pueden migrar entre suscripciones, inquilinos, grupos de recursos o recursos. Si desea realizar algún cambio en el identificador de inquilino o el identificador de suscripción, debe volver a crear todos los recursos de firma de artefactos.

¿Artifact Signing emite certificados EV?

No, la firma de artefactos no emite certificados de validación extendida (EV). No hay ningún plan para emitir certificados EV en el futuro.

¿Por qué SignTool mantiene el bucle cuando firma paquetes MSIX?

El bucle se espera varias veces en la firma MSIX porque cada archivo de aplicación y archivo de manifiesto dentro del paquete está firmado.

Códigos de error comunes y mitigaciones

Error	Detalles
400	Un error de autenticación de Azure. Este error se debe al almacenamiento en caché de certificados. Agregue "ExcludeCredentials": ["<include list of credentials to be excluded>"] al archivo JSON. Para más información, consulte DefaultAzureCredential (Azure.Identity).
401	No está autenticado. Cierre la sesión y vuelva a iniciar sesión.
404	Asegúrese de que no se realizaron cambios en las reglas de configuración o de firewall.
"MsalUiRequiredException"	Este error suele producirse debido a la caché local. El error se resuelve después de actualizar la memoria caché en Azure.
No se encontró ningún certificado que cumpla todos los criterios especificados.	Compruebe la ruta de acceso, versión y nombre de dlib, el nombre de archivo y la versión de SignTool. Este error indica que SignTool está intentando obtener certificados de su equipo local en lugar de usar certificados de firma de artefactos.
Error: "Error de SignerSign() ". (-2147024846/0x80070032)	Asegúrese de que usa la versión más reciente de SignTool.
Código de error (-2147024885/0x8007000b)	En el caso de la firma MSIX, este error indica que el publicador del archivo de manifiesto no coincide con el firmante del certificado. Compruebe el publicador que aparece en el archivo de manifiesto.
Código de error (-2147467259/0x80004005)	Si usa la Entidad de servicio + autenticación basada en certificados, compruebe las variables de entorno enumeradas en la tabla para "Entidad de servicio con certificado".
No hay códigos de error, SignTool produce un error silencioso	Asegúrese de que la versión del entorno de ejecución de .NET pertinente esté instalada.
Azure.Identity.CredentialUnavailableException	Es posible que vea este error en entornos diferentes a Azure. Si trabaja fuera de Azure, se recomienda agregar "exclude ManagedIdentity" al archivo de manifiesto.
403	- Compruebe el estado de la suscripción de Azure debe ser "Registrado". - Compruebe que la identidad que intenta firmar el archivo tiene el rol de firmante del perfil de certificado de firma de artefactos. - Compruebe el nombre de la cuenta de firma de artefactos y el nombre del perfil de certificado de firma de artefactos en el archivo metadata.json . - Compruebe la ruta de acceso dlib y dlib. - Instale C++ Redistributables desde https://docs.microsoft.com/en-us/cpp/windows/latest-supported-vc-redist?view=msvc-170. - Compruebe la versión de .NET, la versión de dlib y la versión de Windows SDK. - Compruebe si la validación de identidad correspondiente tiene un estado de Completado. - Compruebe el estado del perfil de certificado, debe estar activo. - Compruebe si tiene acceso al punto de conexión de firma de artefactos desde esta máquina virtual o equipo. Intente ejecutar la acción en otra máquina virtual o equipo. El error podría indicar un problema de red. - Para escenarios de confianza privada 403: El identificador de objeto de usuario que realiza la firma es diferente del identificador de objeto de usuario que llama a Get-azCodeSigningRootCert. El identificador de objeto adecuado debe tener el rol de firmante del perfil del certificado de firma de artefactos.

Administración de costos y facturación

¿Cómo puedo ver los costos de uso y la información de facturación de los recursos de firma de artefactos?

Para revisar la información de costos, en Azure Portal, vaya a la información general de la suscripción. En el menú de la izquierda, seleccione Cost Management. Para obtener más información, vea Cost Management.

Para revisar la información de facturación, vaya a la información general de la suscripción. En el menú de la izquierda, seleccione Facturación. Para obtener más información, vea Facturación.

¿Se prorratea el precio o se cobra el importe completo independientemente de cuándo empiece a utilizar el servicio?

Los precios no se calculan de forma pro rata. La factura se genera con la cantidad completa de la SKU que seleccionó al crear la cuenta, independientemente de cuándo empiece a usar el servicio después de crear la cuenta.

¿Qué incluye la cuota de firma?

La cuota de firmas abarca todos los procesos de firmas en cualquier perfil de certificado dentro de una cuenta de firma de artefactos.

Cancelar la inscripción al servicio de firma de artefactos

¿Cómo me desinscribo de Artifact Signing?

• Para cancelar la inscripción del servicio de firma de artefactos, elimine su cuenta de firma de artefactos.
• Anule el registro de Microsoft.CodeSigning como proveedor de recursos.
• Al eliminar la cuenta, se eliminan los perfiles de certificado debajo de esta cuenta. Esto detiene la renovación de certificados, lo que detiene eficazmente el proceso de firma asociado a esos perfiles de certificado específicos. Sin embargo, no afecta a los certificados que ya se usaron para firmar los archivos.
• La validación de identidad asociada debe eliminarse explícitamente, ya que la validación de identidad se comparte entre diferentes cuentas de firma de artefactos dentro de la misma suscripción y puede afectar a los perfiles de certificado y la firma de esas cuentas.

Uso indebido y abuso de certificados de firma de artefactos

¿Cómo puede alguien externo a Microsoft informar a la empresa sobre el uso indebido y abuso de certificados para firmar artefactos?

Póngase en contacto aquí: https://www.microsoft.com/en-us/wdsi/filesubmission.

¿Qué ocurre cuando se confirma el uso indebido y el abuso del certificado de firma de artefactos?

La Firma de Artefactos puede revocar el/los certificado(s) y suspender el acceso al servicio de Firma de Artefactos si se confirma el uso indebido o el abuso.

Obtenga respuestas a preguntas comunes sobre el servicio de firma de artefactos.

El servicio de firma de artefactos admite todas las versiones de Windows que son compatibles con la directiva de seguridad general de integridad de código en modo de usuario (UMCI).

La compatibilidad con archivos binarios firmados se agregó en la actualización de lista de confianza de certificados (CTL) de julio de 2021 para Windows. En un escenario típico, cuando se encuentra un certificado de entidad final de una cadena en un equipo, el sistema recupera el certificado de entidad de certificación raíz (CA) y lo agrega al almacén raíz de confianza.

Para obtener más información sobre la compatibilidad de Windows con la firma de artefactos, vea Compatibilidad con Windows del programa de firma de artefactos.

Pida al administrador de Microsoft Entra que apruebe la solicitud de acceso. Para más información sobre los permisos, consulte estos artículos:

• Información general sobre consentimiento y permisos
• Configuración del flujo de trabajo de consentimiento del administrador
• Revisión de los permisos concedidos a las aplicaciones

Para registrar la aplicación Microsoft.CodeSigning, vaya a la suscripción panel Proveedores de recursos tal y como se muestra en este ejemplo:

No. Artifact Signing no admite suscripciones de Azure gratuitas, de prueba o patrocinadas. Para crear una cuenta de Artifact Signing y perfiles de certificado, debe tener una suscripción de pago a Azure. Si intenta crear una cuenta de Artifact Signing o un perfil de certificado con un tipo de suscripción no compatible, el Azure Portal mostrará un error. Para empezar, actualice su suscripción a una de pago por uso o a un contrato Contrato Enterprise y, a continuación, vuelva a intentar crear sus recursos de Artifact Signing.

• Para obtener información sobre los precios, consulte Precios de firma digital de artefactos.

• Puede crear una incidencia de soporte técnico en Azure Portal para obtener soporte técnico de Azure. Además, puede publicar una pregunta o buscar preguntas relacionadas en Microsoft Q&A (use la etiqueta firma de artefactos) o Stack Overflow (use la etiqueta firma de confianza).

En los casos en los que existe la validación de identidad con una dirección de correo electrónico principal y se requiere otra solicitud de validación de identidad, póngase en contacto con el soporte técnico para continuar con la incorporación.

• En el caso de los certificados de confianza pública, la firma de artefactos está disponible actualmente para las organizaciones de Estados Unidos, Canadá, la Unión Europea y Reino Unido, así como para desarrolladores individuales de Estados Unidos y Canadá. Esta limitación no es aplicable a los certificados de confianza privada.

• Para los paquetes MSIX de la aplicación de Windows, siga las instrucciones de identidad persistente MSIX.

• No, no puede usar un nombre común (CN) personalizado ni una organización (O) personalizada con la firma de artefactos. Actualmente, el servicio de firma de artefactos no admite la personalización. Además, tenga en cuenta que según el foro del explorador de entidades de certificación (CA/Foro de explorador) en los requisitos de línea de base de firma de código (CSBR) para los certificados de firma de código de confianza pública, los valores CN siempre deben ser el nombre validado de la entidad legal (por ejemplo, Contoso Corporation).

• Si el botón Nueva validación de identidad en el portal de Azure está inactivo y no puede seleccionarlo, no tiene asignado el rol Verificador de identidad de firma de artefactos a su cuenta. Para asignarse el rol, complete los pasos descritos en Asignación de roles en la firma de artefactos.

• Si no renueva la validación de identidad antes de la fecha de expiración, la renovación del certificado se detiene. Todos los procesos de firma asociados a esos perfiles de certificado específicos se detienen. Para continuar firmando mediante el servicio de Firma de Artefactos, cree otra validación de identidad y asóciela con los perfiles de certificados pertinentes. Se envían varios recordatorios a partir de 60 días antes de la fecha de expiración de una validación de identidad para ayudarle a comenzar el proceso de renovación de la validación de identidad.

• Asegúrese de no perder un vínculo de verificación por correo electrónico que se envió a la dirección de correo electrónico principal que escribió al crear la solicitud de validación de identidad. El vínculo expira después de siete días. Si ha pasado por alto el correo electrónico o si no ha seleccionado el vínculo en el correo electrónico en un plazo de siete días, cree una nueva solicitud de validación de identidad.
• Si se produce un error en la validación de identidades, pero no debido a una comprobación de correo electrónico perdida, el equipo de validación de Microsoft no pudo realizar una determinación sobre la solicitud en función de la información proporcionada. Incluso si proporcionas documentación adicional cuando te la solicitemos, si no podemos validar la información, no podemos darte de alta en Artifact Signing. En este escenario, se recomienda eliminar la cuenta de Artifact Signing para evitar ser facturado por los recursos no utilizados.
• En los casos en los que se requerían documentos adicionales, ha agotado los tres intentos. Por lo tanto, no podemos continuar con la incorporación.

• Para preguntas sobre la validación de identidad en la firma de artefactos, póngase en contacto con nosotros a través de Soporte técnico de Azure o con Microsoft Q&A (use la etiqueta firma de artefactos).
• Nota: La creación de más solicitudes de validación de identidad para la misma entidad que está en curso no ayuda. No se pueden acelerar las solicitudes de validación de identidad.

• Si no ha realizado clic en la comprobación de correo electrónico en un plazo de siete días, debe iniciar una nueva solicitud de validación de identidad. No se puede volver a enviar un vínculo nuevo en la misma solicitud.

• Cree otra solicitud de validación de identidad. Asegúrese de que la dirección de correo electrónico usada no es una lista de distribución y la dirección de correo electrónico puede recibir vínculos de direcciones de correo electrónico externas.

• En la página «Validación de identidad», seleccione la validación de identidad que desea usar. El id. de validación de identidad se muestra como "Id" en el panel de detalles que se abre.

• Siga los pasos para presentar la VID válida (no expirada) existente para la firma de artefactos.

• Asegúrese de usar un identificador emitido por el gobierno con una dirección en ella para pasar correctamente por el proceso.

• Si ve el error, se debe a que la dirección de correo electrónico especificada en la solicitud de validación de identidad individual es diferente de la que se usa para iniciar sesión para acceder al vínculo de validación de identidad. Asegúrese de que ambas direcciones de correo electrónico coinciden.
  

• Para los paquetes MSIX de la aplicación de Windows, siga las instrucciones de identidad persistente MSIX.

• La eliminación de un perfil de certificado no revoca ningún certificado emitido previamente ni invalida sus firmas; siguen siendo válidos.

• No. La unidad organizativa solo está disponible para los certificados de directiva de confianza privada y de CI de confianza privada.

La extensión de firma de artefactos (VisualStudioClient.ArtifactSigning) es una extensión de tarea Azure DevOps, no una extensión de IDE de Visual Studio. Ambos se distribuyen como archivos .vsix, pero no son intercambiables, y VSIXInstaller.exe solo admite extensiones del IDE; al ejecutarlo con el paquete Artifact Signing, falla con un error engañoso SignatureState: InvalidSignature y System.NullReferenceException. El certificado de firma es válido; el instalador es la herramienta incorrecta y no hay ningún flujo de trabajo de instalación local para esta extensión.

• Desde una canalización de Azure DevOps: instale la extensión en su organización desde Marketplace y, después, haga referencia a la tarea AzureArtifactSigning@<version>. Consulte Instalar extensiones para Azure DevOps para conocer las rutas de instalación admitidas (la interfaz de usuario de Marketplace y az devops extension); ambas se dirigen a una organización de Azure DevOps.
• Sin Azure Pipelines (estación de trabajo, agente autohospedado, otro sistema de CI): use SignTool, PowerShell, Acciones de GitHub o el SDK de firma de artefactos.

La reputación de SmartScreen se acumula automáticamente. El mensaje deja de aparecer una vez que el hash de archivo tiene suficiente historial de descargas. Para obtener más información, consulte la documentación sobre la reputación de SmartScreen para desarrolladores de aplicaciones de Windows. Si sigue recibiendo mensajes de SmartScreen para la aplicación, considere la posibilidad de enviar el archivo firmado a través de Seguridad de Microsoft Intelligence para su posterior revisión.

Puede firmar todos los tipos de archivo que SignTool admite.

FIPS 140-2 Nivel 3.

Para obtener información sobre la configuración del controlador Antimalware de inicio temprano (ELAM) para proteger los servicios en modo de usuario antimalware, vea las instrucciones siguientes:

A partir de 2022, todos los archivos binarios del servicio antimalware del modo de usuario deben estar firmados por Microsoft Artifact Signing. El certificado Authenticode emitido por Artifact Signing para firmar binarios antimalware es válido durante tres días por motivos de seguridad. Para evitar la necesidad de actualizar el controlador ELAM cada vez que se actualiza el certificado, se recomienda que los proveedores antimalware incluyan el hash TBS del certificado PCA de firma de artefactos en la parte CertHash del archivo de recursos del controlador ELAM. Además, el proveedor de antimalware debe incluir en el campo EKU de la información del archivo de recursos su identidad EKU única para la firma de artefactos. La identidad de EKU comienza con el prefijo 1.3.6.1.4.1.311.97.*".

Para obtener el certificado PCA 2021 de firma de código comprobado de id. de Microsoft, vea el Repositorio de servicios PKI de Microsoft.

• Si se establece una marca /INTEGRITYCHECK, la firma del usuario no se valida en tiempo de ejecución y no se ejecuta con /INTEGRITYCHECK.
• Para verificar si está instalada la actualización de firma de artefactos, le recomendamos que compruebe uno de sus archivos DLL empaquetados que estén vinculados con /INTEGRITYCHECK. Puede usar una versión de prueba. De este modo, puede completar la comprobación y determinar la disponibilidad de nuestros archivos binarios vinculados /INTEGRITYCHECK fuera de la plataforma.

Actualmente, no se amplían los certificados firmados entre firma. Debe firmar mediante el servicio de firma de artefactos.

La firma con el Centro de partners es una firma en modo kernel (sin cambios tras la introducción de la firma de artefactos). Firme los archivos binarios en modo de usuario mediante la firma de artefactos. Para las aplicaciones que interactúan con el servicio Seguridad de Windows Center (WSC), debe incluir el bit de integridad de código (/INTEGRITYCHECK). Sin la firma de artefactos, no puede registrarse en el WSC, y Windows Defender se ejecuta en paralelo.

El certificado Authenticode que se usa para firmar con el perfil nunca se le entrega. Todos los certificados se almacenan de forma segura en el servicio y solo se puede acceder a ellos en el momento de la firma. El certificado público siempre se incluye en cualquier archivo binario firmado por el servicio.

Ejecute el siguiente comando: curl http://timestamp.acs.microsoft.com. Si se devuelve el código de estado 200, el servicio de marca de tiempo está funcionando correctamente.

Si recibe un error interno, compruebe que el nombre de CN que ha usado coincide con el nombre del certificado. Compruebe el nombre del paquete y copie el valor completo del asunto de Azure Portal en el archivo de manifiesto durante la firma.

Si la firma no aparece en la propiedad de firma digital, ejecute este comando: .\signtool.exe verify /v /debug /pa fileName. No todos los tipos de archivo incluyen la pestaña Firma en las Propiedades.

1. Cree una identidad administrada asignada por el usuario.
2. Agregue la identidad administrada asignada por el usuario a la máquina virtual:
   1. Seleccione la máquina virtual.
   2. En el menú de la izquierda, seleccione Identidad y, a continuación, seleccione Usuario asignado.
   3. Seleccione Agregar para agregar la identidad administrada.
3. En el grupo de recursos (o suscripción) que tiene el rol de firmante del perfil de certificado de firma de artefactos, añada la identidad administrada asignada por el usuario al rol. Vaya a Control de acceso (IAM)>Asignaciones de roles para asignar el rol correcto.

• Dado que Google Cloud Platform (GCP) no tiene un recurso de identidad administrada de Azure de forma predeterminada, es necesario configurar una credencial de entorno. Use la clase EnvironmentCredential para configurar la credencial. Se recomienda usar estas variables:

  • AZURE_TENANT_ID para el identificador de inquilino (directorio) de Microsoft Entra.
  • AZURE_CLIENT_ID para el identificador de cliente (aplicación) de un registro de aplicación en el inquilino.
  • AZURE_CLIENT_SECRET para un secreto de cliente generado para el registro de la aplicación.

• Para crear un identificador de cliente y un secreto, siga las instrucciones que se indican en Creación de una entidad de servicio.

• Después de crear el identificador de cliente y el secreto, vaya al grupo de recursos (o suscripción) que tiene el rol de firmante del perfil de certificado de firma de artefactos y añada la aplicación a dicho rol.

Si un certificado se usa incorrectamente o se abusa de conformidad con los Términos de Uso del servicio, el Servicio de Firma de Artefactos suspende la cuenta o revoca un certificado de firma, o ambos. En este caso, nos pondremos en contacto con usted directamente y seguiremos las directrices de los CSBR de CA/Browser Forum.

Actualmente, los recursos de firma de artefactos no se pueden migrar entre suscripciones, inquilinos, grupos de recursos o recursos. Si desea realizar algún cambio en el identificador de inquilino o el identificador de suscripción, debe volver a crear todos los recursos de firma de artefactos.

No, la firma de artefactos no emite certificados de validación extendida (EV). No hay ningún plan para emitir certificados EV en el futuro.

El bucle se espera varias veces en la firma MSIX porque cada archivo de aplicación y archivo de manifiesto dentro del paquete está firmado.

Error	Detalles
400	Un error de autenticación de Azure. Este error se debe al almacenamiento en caché de certificados. Agregue "ExcludeCredentials": ["<include list of credentials to be excluded>"] al archivo JSON. Para más información, consulte DefaultAzureCredential (Azure.Identity).
401	No está autenticado. Cierre la sesión y vuelva a iniciar sesión.
404	Asegúrese de que no se realizaron cambios en las reglas de configuración o de firewall.
"MsalUiRequiredException"	Este error suele producirse debido a la caché local. El error se resuelve después de actualizar la memoria caché en Azure.
No se encontró ningún certificado que cumpla todos los criterios especificados.	Compruebe la ruta de acceso, versión y nombre de dlib, el nombre de archivo y la versión de SignTool. Este error indica que SignTool está intentando obtener certificados de su equipo local en lugar de usar certificados de firma de artefactos.
Error: "Error de SignerSign() ". (-2147024846/0x80070032)	Asegúrese de que usa la versión más reciente de SignTool.
Código de error (-2147024885/0x8007000b)	En el caso de la firma MSIX, este error indica que el publicador del archivo de manifiesto no coincide con el firmante del certificado. Compruebe el publicador que aparece en el archivo de manifiesto.
Código de error (-2147467259/0x80004005)	Si usa la Entidad de servicio + autenticación basada en certificados, compruebe las variables de entorno enumeradas en la tabla para "Entidad de servicio con certificado".
No hay códigos de error, SignTool produce un error silencioso	Asegúrese de que la versión del entorno de ejecución de .NET pertinente esté instalada.
Azure.Identity.CredentialUnavailableException	Es posible que vea este error en entornos diferentes a Azure. Si trabaja fuera de Azure, se recomienda agregar "exclude ManagedIdentity" al archivo de manifiesto.
403	- Compruebe el estado de la suscripción de Azure debe ser "Registrado". - Compruebe que la identidad que intenta firmar el archivo tiene el rol de firmante del perfil de certificado de firma de artefactos. - Compruebe el nombre de la cuenta de firma de artefactos y el nombre del perfil de certificado de firma de artefactos en el archivo metadata.json . - Compruebe la ruta de acceso dlib y dlib. - Instale C++ Redistributables desde https://docs.microsoft.com/en-us/cpp/windows/latest-supported-vc-redist?view=msvc-170. - Compruebe la versión de .NET, la versión de dlib y la versión de Windows SDK. - Compruebe si la validación de identidad correspondiente tiene un estado de Completado. - Compruebe el estado del perfil de certificado, debe estar activo. - Compruebe si tiene acceso al punto de conexión de firma de artefactos desde esta máquina virtual o equipo. Intente ejecutar la acción en otra máquina virtual o equipo. El error podría indicar un problema de red. - Para escenarios de confianza privada 403: El identificador de objeto de usuario que realiza la firma es diferente del identificador de objeto de usuario que llama a Get-azCodeSigningRootCert. El identificador de objeto adecuado debe tener el rol de firmante del perfil del certificado de firma de artefactos.

Para revisar la información de costos, en Azure Portal, vaya a la información general de la suscripción. En el menú de la izquierda, seleccione Cost Management. Para obtener más información, vea Cost Management.

Para revisar la información de facturación, vaya a la información general de la suscripción. En el menú de la izquierda, seleccione Facturación. Para obtener más información, vea Facturación.

Los precios no se calculan de forma pro rata. La factura se genera con la cantidad completa de la SKU que seleccionó al crear la cuenta, independientemente de cuándo empiece a usar el servicio después de crear la cuenta.

La cuota de firmas abarca todos los procesos de firmas en cualquier perfil de certificado dentro de una cuenta de firma de artefactos.

• Para cancelar la inscripción del servicio de firma de artefactos, elimine su cuenta de firma de artefactos.
• Anule el registro de Microsoft.CodeSigning como proveedor de recursos.
• Al eliminar la cuenta, se eliminan los perfiles de certificado debajo de esta cuenta. Esto detiene la renovación de certificados, lo que detiene eficazmente el proceso de firma asociado a esos perfiles de certificado específicos. Sin embargo, no afecta a los certificados que ya se usaron para firmar los archivos.
• La validación de identidad asociada debe eliminarse explícitamente, ya que la validación de identidad se comparte entre diferentes cuentas de firma de artefactos dentro de la misma suscripción y puede afectar a los perfiles de certificado y la firma de esas cuentas.

Póngase en contacto aquí: https://www.microsoft.com/en-us/wdsi/filesubmission.

La Firma de Artefactos puede revocar el/los certificado(s) y suspender el acceso al servicio de Firma de Artefactos si se confirma el uso indebido o el abuso.