Trusted Signing 인증서 관리
이 문서에서는 신뢰할 수 있는 서명 인증서에 대해 설명하면서 두 가지 고유한 특성, 이 서비스의 제로 터치 수명 주기 관리 프로세스, 타임스탬프 연대 서명의 중요성, Microsoft 활성 위협 모니터링 및 해지 작업 등을 소개합니다.
신뢰할 수 있는 서명 서비스에 사용되는 인증서는 X.509 코드 서명 인증서에 대한 표준 사례를 따릅니다. 정상 에코시스템을 지원하기 위해 이 서비스에는 X.509 인증서용 완전 관리형 환경과 서명용 비대칭 키가 포함되어 있습니다. 완전 관리형 신뢰할 수 있는 서명 환경은 신뢰할 수 있는 서명 인증서 프로필 리소스의 모든 인증서에 모든 인증서 수명 주기 작업을 제공합니다.
인증서 특성
신뢰할 수 있는 서명은 인증서 프로필 리소스 종류를 사용하여 신뢰할 수 있는 서명 고객이 서명에 사용하는 X.509 v3 인증서를 만들고 관리합니다. 인증서는 RFC 5280 표준과 Microsoft PKI Services 리포지토리에 있는 관련 Microsoft PKI 서비스 CP(인증서 정책) 및 CPS(인증 업무 준칙) 리소스를 준수합니다.
신뢰할 수 있는 서명의 인증서 프로필에는 표준 기능 외에도 인증서 서명의 오용 또는 남용과 관련된 위험 및 영향을 완화하는 데 도움이 되는 다음과 같은 두 가지 고유한 기능이 포함되어 있습니다.
- 단기 인증서
- 지속형 ID 고정을 위한 구독자 ID 유효성 검사 EKU(확장 키 사용)
단기 인증서
서명 오용 및 남용의 영향을 줄이기 위해 신뢰할 수 있는 서명 인증서는 매일 갱신되며 72시간 동안만 유효합니다. 이러한 단기 인증서에서 해지 조치는 단 하루 만에 완료될 수도 있고 오용 및 남용 인시던트를 처리하는 데 필요한 만큼 광범위한 해지 조치가 수행될 수도 있습니다.
예를 들어 Microsoft가 맬웨어와 사용자 동의 없이 설치된 애플리케이션을 식별하는 방법에 정의된 대로 구독자가 맬웨어 또는 사용자 동의 없이 설치된 애플리케이션(PUA)인 코드에 서명한 것으로 확인되면 해지 작업을 격리하여 맬웨어 또는 PUA에 서명한 인증서만 해지할 수 있습니다. 해지는 인증서가 발급된 날짜에 해당 인증서를 사용하여 서명된 코드에만 영향을 줍니다. 해당 날짜 이전 또는 해당 날짜 이후에 서명된 코드에는 해지가 적용되지 않습니다.
구독자 ID 유효성 검사 EKU
키 예방 조치를 보장하기 위해 정기적으로 X.509 최종 엔터티 서명 인증서를 갱신하는 것이 일반적입니다. 신뢰할 수 있는 서명의 일일 인증서 갱신으로 인해 인증서 특성(예: 공개 키) 또는 인증서의 지문(인증서 해시)을 사용하는 최종 엔터티 인증서에 신뢰 또는 유효성 검사를 고정하는 것은 지속성이 없습니다. 또한 주체 DN(주체 고유 이름) 값은 ID 또는 조직의 수명 중에 변경될 수 있습니다.
이러한 문제를 해결하기 위해 신뢰할 수 있는 서명은 구독의 ID 유효성 검사 리소스와 연결된 각 인증서에 지속성 있는 ID 값을 제공합니다. 지속형 ID 값은 1.3.6.1.4.1.311.97. 접두사가 있고 그 뒤에 인증서 프로필에 사용되는 ID 유효성 검사 리소스에 고유한 더 많은 8진수 값이 오는 사용자 지정 EKU입니다. 다음 몇 가지 예를 참조하세요.
공개 신뢰 ID 유효성 검사 예
1.3.6.1.4.1.311.97.990309390.766961637.194916062.941502583값은 공개 신뢰 ID 유효성 검사를 사용하는 신뢰할 수 있는 서명 구독자를 나타냅니다.1.3.6.1.4.1.311.97.접두사는 신뢰할 수 있는 서명 공개 신뢰 코드 서명 형식입니다.990309390.766961637.194916062.941502583값은 공개 신뢰에 대한 구독자의 ID 유효성 검사에 고유합니다.비공개 신뢰 ID 유효성 검사 예
1.3.6.1.4.1.311.97.1.3.1.29433.35007.34545.16815.37291.11644.53265.56135값은 비공개 신뢰 ID 유효성 검사를 사용하는 신뢰할 수 있는 서명 구독자를 나타냅니다.1.3.6.1.4.1.311.97.1.3.1.접두사는 신뢰할 수 있는 서명 비공개 신뢰 코드 서명 형식입니다.29433.35007.34545.16815.37291.11644.53265.56135값은 비공개 신뢰에 대한 구독자의 ID 유효성 검사에 고유합니다.WDAC(Windows Defender 애플리케이션 제어) CI(코드 무결성) 정책 서명에 비공개 신뢰 ID 유효성 검사를 사용할 수 있으므로 다른 EKU 접두사
1.3.6.1.4.1.311.97.1.4.1.를 사용합니다. 그러나 접미사 값은 비공개 신뢰에 대한 구독자의 ID 유효성 검사의 지속형 ID 값과 일치합니다.
참고 항목
WDAC CI 정책 설정에서 지속형 ID EKU를 사용하여 신뢰할 수 있는 서명의 ID에 신뢰를 고정할 수 있습니다. WDAC 정책 만들기에 대한 자세한 내용은 서명된 정책을 사용하여 변조로부터 Windows Defender 애플리케이션 제어 보호 및 Windows Defender 애플리케이션 제어 마법사를 참조하세요.
모든 Trusted Signing 공용 신뢰 인증서에는 Trusted Signing에서 공개적으로 신뢰할 수 있는 인증서로 쉽게 식별할 수 있는 1.3.6.1.4.1.311.97.1.0 EKU도 포함되어 있습니다. 인증서 소비자의 특정 사용 유형을 식별하기 위해 코드 서명 EKU(1.3.6.1.5.5.7.3.3) 외에 모든 EKU가 제공됩니다. 유일한 예외는 코드 서명 EKU가 없는 신뢰할 수 있는 서명 비공개 신뢰 CI 정책 인증서 프로필 유형인 인증서입니다.
제로터치 인증서 수명 주기 관리
신뢰할 수 있는 서명은 각 구독자에 대해 가능한 한 서명을 간소화하는 것을 목표로 합니다. 서명 간소화의 주요 부분은 완전히 자동화된 인증서 수명 주기 관리 솔루션을 제공하는 것입니다. 신뢰할 수 있는 서명 제로 터치 인증서 수명 주기 관리 기능은 자동으로 모든 표준 인증서 작업을 처리합니다.
다음을 포함합니다.
- 서비스에서 관리하는 FIPS 140-2 수준 3 하드웨어 암호화 모듈에서의 보안 키 생성, 저장, 사용
- 인증서 프로필 리소스에 서명하는 데 사용할 유효한 인증서가 항상 있도록 보장하는 일일 인증서 갱신
만들고 발급하는 모든 인증서는 Azure Portal에 기록됩니다. 포털에서 인증서 일련 번호, 지문, 생성 날짜, 만료 날짜 및 상태(예: 활성, 만료됨, 해지됨)가 포함된 로깅 데이터 피드를 볼 수 있습니다.
참고 항목
신뢰할 수 있는 서명은 프라이빗 키 및 인증서의 가져오기 또는 내보내기를 지원하지 않습니다. 신뢰할 수 있는 서명에 사용하는 모든 인증서 및 키는 FIPS 140-2 수준 3 운영 하드웨어 암호화 모듈 내에서 관리됩니다.
타임스탬프 연대 서명
서명의 표준 관행은 RFC 3161 규격 타임스탬프를 사용하여 모든 서명을 연대 서명하는 것입니다. 신뢰할 수 있는 서명은 단기 인증서를 사용하므로 서명 인증서의 수명을 초과하여 서명이 유효하려면 타임스탬프 연대 서명이 중요합니다. 타임스탬프 연대 서명은 CSBR(코드 서명 기준 요구 사항)의 표준을 충족하는 TSA(타임스탬프 인증 기관)의 암호화된 보안 타임스탬프 토큰을 제공합니다.
연대 서명은 서명이 발생한 신뢰할 수 있는 날짜 및 시간을 제공합니다. 타임스탬프 연대 서명이 서명 인증서의 유효 기간 및 TSA 인증서의 유효 기간 내에 있는 경우 서명은 유효합니다. 서명 인증서와 TSA 인증서가 만료된 후에도 둘 중 하나가 해지되지 않는 한 오랫동안 유효합니다.
신뢰할 수 있는 서명은 http://timestamp.acs.microsoft.com에서 일반 공급되는 TSA 엔드포인트를 제공합니다. 모든 신뢰할 수 있는 서명 구독자는 생성한 모든 서명에 이 TSA 엔드포인트를 사용하여 연대 서명하는 것이 좋습니다.
모니터링 활성화
Trusted Signing은 활성형 위협 인텔리전스 모니터링을 통해 Trusted Signing 구독자의 Public Trust 인증서 오용 및 남용 사례를 지속적으로 찾아 정상 에코시스템을 열정적으로 지원합니다.
오용 또는 남용 사례가 확인되면 신뢰할 수 있는 서명은 대상 지정된 또는 광범위한 인증서 해지 및 계정 일시 중지를 비롯해 모든 위협을 완화하고 수정하는 데 필요한 단계를 즉시 수행합니다.
소유한 인증서 프로필에 기록된 인증서에 대해 Azure Portal에서 바로 해지 작업을 완료할 수 있습니다.