Bagikan melalui

Manajemen sertifikat Penandatanganan Tepercaya

  • Artikel

Artikel ini menjelaskan sertifikat Penandatanganan Tepercaya, termasuk dua atribut uniknya, proses manajemen siklus hidup tanpa sentuhan layanan, pentingnya penandatanganan stempel waktu, dan tindakan pemantauan dan pencabutan ancaman aktif Microsoft.

Sertifikat yang digunakan dalam layanan Penandatanganan Tepercaya mengikuti praktik standar untuk sertifikat penandatanganan kode X.509. Untuk mendukung ekosistem yang sehat, layanan ini mencakup pengalaman terkelola penuh untuk sertifikat X.509 dan kunci asimetris untuk penandatanganan. Pengalaman Penandatanganan Tepercaya yang dikelola sepenuhnya menyediakan semua tindakan siklus hidup sertifikat untuk semua sertifikat dalam sumber daya profil sertifikat Penandatanganan Tepercaya.

Atribut sertifikat

Penandatanganan Tepercaya menggunakan jenis sumber daya profil sertifikat untuk membuat dan mengelola sertifikat X.509 v3 yang digunakan pelanggan Penandatanganan Tepercaya untuk penandatanganan. Sertifikat sesuai dengan standar RFC 5280 dan sumber daya Kebijakan Sertifikat Layanan (CP) dan Sertifikat (CPS) Microsoft PKI yang relevan yang ada di repositori Microsoft PKI Services.

Selain fitur standar, profil sertifikat dalam Penandatanganan Tepercaya mencakup dua fitur unik berikut untuk membantu mengurangi risiko dan dampak yang terkait dengan penyalahgunaan atau penyalahgunaan penandatanganan sertifikat:

  • Sertifikat berumur pendek
  • Validasi identitas pelanggan Extended Key Usage (EKU) untuk penyematan identitas tahan lama

Sertifikat berumur pendek

Untuk membantu mengurangi dampak penyalahgunaan dan penyalahgunaan penandatanganan, sertifikat Penandatanganan Tepercaya diperpanjang setiap hari dan hanya berlaku selama 72 jam. Dalam sertifikat berumur pendek ini, tindakan pencabutan dapat sama akutnya dengan satu hari atau seluas yang diperlukan untuk menutupi insiden penyalahgunaan dan penyalahgunaan.

Misalnya, jika ditentukan bahwa kode yang ditandatangani pelanggan yang malware atau aplikasi yang berpotensi tidak diinginkan (PUA) seperti yang didefinisikan dalam Cara Microsoft mengidentifikasi malware dan aplikasi yang berpotensi tidak diinginkan, tindakan pencabutan dapat diisolasi untuk mencabut hanya sertifikat yang menandatangani malware atau PUA. Pencabutan hanya memengaruhi kode yang ditandatangani dengan menggunakan sertifikat tersebut pada hari penerbitannya. Pencabutan tidak berlaku untuk kode apa pun yang ditandatangani sebelum hari itu atau setelah hari itu.

EKU validasi identitas pelanggan

Biasanya sertifikat penandatanganan entitas akhir X.509 diperbarui pada garis waktu reguler untuk memastikan kebersihan kunci. Karena perpanjangan sertifikat harian Penandatanganan Tepercaya, menyematkan kepercayaan atau validasi ke sertifikat entitas akhir yang menggunakan atribut sertifikat (misalnya, kunci publik) atau thumbprint sertifikat (hash sertifikat) tidak tahan lama. Selain itu, nilai Subject Distinguished Name (subject DN) dapat berubah selama masa pakai identitas atau organisasi.

Untuk mengatasi masalah ini, Penandatanganan Tepercaya menyediakan nilai identitas tahan lama di setiap sertifikat yang terkait dengan sumber daya validasi identitas langganan. Nilai identitas tahan lama adalah EKU kustom yang memiliki awalan 1.3.6.1.4.1.311.97. dan diikuti oleh nilai oktet yang lebih unik untuk sumber daya validasi identitas yang digunakan pada profil sertifikat. Berikut adalah beberapa contoh:

  • Contoh validasi identitas Kepercayaan Publik

    Nilai 1.3.6.1.4.1.311.97.990309390.766961637.194916062.941502583 menunjukkan pelanggan Penandatanganan Tepercaya yang menggunakan validasi identitas Kepercayaan Publik. 1.3.6.1.4.1.311.97. Awalannya adalah jenis penandatanganan kode Kepercayaan Publik Penandatanganan Tepercaya. Nilainya 990309390.766961637.194916062.941502583 unik untuk validasi identitas pelanggan untuk Kepercayaan Publik.

  • Contoh validasi identitas Kepercayaan Privat

    Nilai 1.3.6.1.4.1.311.97.1.3.1.29433.35007.34545.16815.37291.11644.53265.56135 menunjukkan pelanggan Penandatanganan Tepercaya yang menggunakan validasi identitas Kepercayaan Privat. 1.3.6.1.4.1.311.97.1.3.1. Awalannya adalah jenis penandatanganan kode Kepercayaan Privat Penandatanganan Tepercaya. Nilainya 29433.35007.34545.16815.37291.11644.53265.56135 unik untuk validasi identitas pelanggan untuk Kepercayaan Privat.

    Karena Anda dapat menggunakan validasi identitas Kepercayaan Privat untuk penandatanganan kebijakan integritas kode (CI) Kontrol Aplikasi Pertahanan Windows (WDAC), mereka memiliki awalan EKU yang berbeda: 1.3.6.1.4.1.311.97.1.4.1.. Tetapi nilai akhiran cocok dengan nilai identitas tahan lama untuk validasi identitas pelanggan untuk Private Trust.

Catatan

Anda dapat menggunakan EKUs identitas tahan lama dalam pengaturan kebijakan WDAC CI untuk menyematkan kepercayaan ke identitas dalam Penandatanganan Tepercaya. Untuk informasi tentang membuat kebijakan WDAC, lihat Menggunakan kebijakan yang ditandatangani untuk melindungi Kontrol Aplikasi Pertahanan Windows dari perusakan dan Panduan Kontrol Aplikasi Pertahanan Windows.

Semua sertifikat Kepercayaan Publik Penandatanganan Tepercaya juga berisi 1.3.6.1.4.1.311.97.1.0 EKU agar mudah diidentifikasi sebagai sertifikat tepercaya publik dari Penandatanganan Tepercaya. Semua EKUs disediakan selain EKU penandatanganan kode (1.3.6.1.5.5.7.3.3) untuk mengidentifikasi jenis penggunaan khusus untuk konsumen sertifikat. Satu-satunya pengecualian adalah sertifikat yang merupakan jenis profil sertifikat Trust CI Policy Trust Privat Tepercaya, di mana tidak ada kode yang menandatangani EKU.

Manajemen siklus hidup sertifikat tanpa sentuhan

Penandatanganan Tepercaya bertujuan untuk menyederhanakan penandatanganan sebanyak mungkin untuk setiap pelanggan. Bagian utama dari penyederhanaan penandatanganan adalah menyediakan solusi manajemen siklus hidup sertifikat yang sepenuhnya otomatis. Fitur manajemen siklus hidup sertifikat zero-touch Penandatanganan Tepercaya secara otomatis menangani semua tindakan sertifikat standar untuk Anda.

Ini termasuk:

  • Pembuatan kunci, penyimpanan, dan penggunaan yang aman dalam modul kripto perangkat keras FIPS 140-2 Level 3 yang dikelola layanan.
  • Perpanjangan sertifikat harian untuk memastikan bahwa Anda selalu memiliki sertifikat yang valid untuk digunakan untuk menandatangani sumber daya profil sertifikat Anda.

Setiap sertifikat yang Anda buat dan masalah dicatat di portal Azure. Anda dapat melihat umpan data pengelogan yang menyertakan nomor seri sertifikat, thumbprint, tanggal yang dibuat, tanggal kedaluwarsa, dan status (misalnya, Aktif, Kedaluwarsa, atau Dicabut) di portal.

Catatan

Penandatanganan Tepercaya tidak mendukung impor atau ekspor kunci dan sertifikat privat. Semua sertifikat dan kunci yang Anda gunakan dalam Penandatanganan Tepercaya dikelola di dalam modul kripto perangkat keras yang dioperasikan FIPS 140-2 Level 3.

Tanda balik stempel waktu

Praktik standar dalam penandatanganan adalah untuk meng-countersign semua tanda tangan dengan stempel waktu yang mematuhi RFC 3161. Karena Penandatanganan Tepercaya menggunakan sertifikat berumur pendek, penghitung stempel waktu sangat penting agar tanda tangan valid di luar masa pakai sertifikat penandatanganan. Countersignature stempel waktu menyediakan token stempel waktu yang aman secara kriptografis dari Time Stamping Authority (TSA) yang memenuhi standar Persyaratan Garis Besar Penandatanganan Kode (CSBR).

Countersignature memberikan tanggal dan waktu yang dapat diandalkan saat penandatanganan terjadi. Jika penandatanganan balik stempel waktu berada di dalam periode validitas sertifikat penandatanganan dan periode validitas sertifikat TSA, tanda tangan valid. Ini berlaku lama setelah sertifikat penandatanganan dan sertifikat TSA kedaluwarsa (kecuali dicabut).

Penandatanganan Tepercaya menyediakan titik akhir TSA yang tersedia secara umum di http://timestamp.acs.microsoft.com. Kami menyarankan agar semua pelanggan Penandatanganan Tepercaya menggunakan titik akhir TSA ini untuk mengimbangi tanda tangan apa pun yang mereka hasilkan.

Pemantauan aktif

Trusted Signing dengan penuh semangat mendukung ekosistem yang sehat dengan menggunakan pemantauan inteligensi ancaman aktif untuk terus mencari kasus penyalahgunaan dan penyalahgunaan sertifikat Kepercayaan Publik pelanggan Penandatanganan Tepercaya.

  • Untuk kasus penyalahgunaan atau penyalahgunaan yang dikonfirmasi, Penandatanganan Tepercaya segera mengambil langkah-langkah yang diperlukan untuk mengurangi dan memulihkan ancaman apa pun, termasuk pencabutan sertifikat yang ditargetkan atau luas dan penangguhan akun.

  • Anda dapat menyelesaikan tindakan pencabutan langsung di portal Azure untuk sertifikat apa pun yang dicatat di bawah profil sertifikat yang Anda miliki.

Langkah selanjutnya

Menyiapkan Penandatanganan Tepercaya