FAQ Betrouwbaar ondertekenen

Krijg antwoorden op veelgestelde vragen over de vertrouwde ondertekeningsservice.

Aan de slag

Welke versies van Windows ondersteunt Trusted Signing?

De Trusted Signing-service ondersteunt alle versies van Windows die ondersteuning bieden voor het algemene beveiligingsbeleid voor code-integriteit in de gebruikersmodus (UMCI).

Ondersteuning voor ondertekende binaire bestanden is toegevoegd in de CTL-update (Certificate Trust List) van juli 2021 voor Windows. Wanneer in een typisch scenario een end-entity-certificaat uit een keten op een computer wordt aangetroffen, haalt het systeem het basiscertificaat van de certificeringsinstantie (CA) op en voegt het toe aan het basisarchief van de vertrouwensrelatie.

Zie Windows-ondersteuning voor vertrouwde ondertekening voor meer informatie over Windows-ondersteuning voor vertrouwde ondertekening.

Hoe kan ik API-toegang verlenen tot vertrouwde aanmelding in Microsoft Entra?

Vraag uw Microsoft Entra-beheerder om uw aanvraag voor toegang goed te keuren. Zie de volgende artikelen voor meer informatie over machtigingen:

• Overzicht van toestemming en machtigingen
• De werkstroom voor beheerderstoestemming configureren
• Machtigingen controleren die zijn verleend aan toepassingen

Wat gebeurt er als ik Microsoft.CodeSigning niet zie als resourceprovider?

Als u de Microsoft.CodeSigning-app wilt registreren, gaat u naar het deelvenster Resourceproviders voor abonnementen, zoals wordt weergegeven in dit voorbeeld:

Wat zijn de kosten voor het gebruik van vertrouwde ondertekening?

• Zie prijzen voor vertrouwde ondertekening voor informatie over prijzen.

Wat zijn mijn ondersteuningsopties wanneer ik Vertrouwde ondertekening heb ingesteld?

• U kunt een ondersteuningsticket maken in Azure Portal om ondersteuning voor Azure op te halen. U kunt ook een vraag plaatsen of zoeken naar verwante vragen over Microsoft Q&A (gebruik de tag Vertrouwde ondertekening van Azure) of Stack Overflow (gebruik de tag voor vertrouwde ondertekening).

Identiteitsvalidatie

Wat gebeurt er als mijn onderwerpnaam voor vertrouwde ondertekening verschilt van de naam in mijn certificaat en de naam van mijn MSIX-pakket nu anders is?

• Voor MSIX-pakketten voor Windows-apps volgt u de richtlijnen in de permanente MSIX-identiteit.

Kan ik een aangepaste CN of een aangepaste O gebruiken met Vertrouwde ondertekening?

• Nee, u kunt geen aangepaste algemene naam (CN) of een aangepaste organisatie (O) gebruiken met vertrouwde ondertekening. Op dit moment biedt de Trusted Signing-service geen ondersteuning voor aanpassing. Houd er ook rekening mee dat cn-waarden altijd de gevalideerde naam Microsoft Corporationvan de rechtspersoon (bijvoorbeeld) moeten zijn op basis van het Forum van de certificeringsinstantie (CA/Browser Forum) in de basislijnvereisten voor ondertekening van programmacode (CSDR's) voor openbaar vertrouwde certificaten voor ondertekening van programmacode.

Wat gebeurt er als de knop 'Nieuwe identiteitsvalidatie' in Azure Portal inactief is?

• Als de knop Nieuwe identiteitsvalidatie in De Azure-portal inactief is en u deze niet kunt selecteren, hebt u niet de rol Trusted Signing Identity Verifier toegewezen aan uw account. Als u uzelf de rol wilt toewijzen, voert u de stappen in Rollen toewijzen in Vertrouwde ondertekening uit.

Wat gebeurt er als mijn identiteitsvalidatie verloopt?

• Als u identiteitsvalidatie niet verlengt vóór de vervaldatum, stopt de verlenging van het certificaat. Alle ondertekeningsprocessen die aan deze specifieke certificaatprofielen zijn gekoppeld, worden gestopt. Als u wilt doorgaan met het ondertekenen met de service Vertrouwde ondertekening, maakt u een andere identiteitsvalidatie en koppelt u deze aan de relevante certificaatprofielen. We verzenden meerdere herinneringen vanaf 60 dagen vóór de vervaldatum van een identiteitsvalidatie om u te helpen met het vernieuwen van uw identiteitsvalidatie.

Wat gebeurt er als de identiteitsvalidatie van de organisatie mislukt?

• Op dit moment kan een organisatie met een jaarbasisdatum van minder dan drie jaar niet worden ge onboardd en mislukt de identiteitsvalidatie.
• Een organisatie die is gebaseerd op de VS of Canada, kan niet worden ge onboardd.
• Als uw organisatie een jaardatum van meer dan drie jaar heeft, moet u ervoor zorgen dat u geen koppeling voor e-mailverificatie hebt gemist die is verzonden naar het primaire e-mailadres dat u hebt ingevoerd toen u uw identiteitsvalidatieaanvraag maakte. De koppeling verloopt na zeven dagen. Als u de e-mail over het hoofd hebt gezien of als u de koppeling niet binnen zeven dagen in de e-mail hebt geselecteerd, maakt u een nieuwe identiteitsvalidatieaanvraag.
• Als identiteitsvalidatie mislukt, maar niet vanwege een gemiste e-mailverificatie, kon het Microsoft-validatieteam geen beslissing nemen over uw aanvraag op basis van de informatie die u hebt opgegeven. Zelfs als u meer documentatie opgeeft wanneer we dit aanvragen, kunnen we u niet onboarden bij Vertrouwde ondertekening als we de informatie niet kunnen valideren. In dit scenario wordt u aangeraden uw account voor vertrouwde ondertekening te verwijderen, zodat u niet in rekening wordt gebracht voor ongebruikte resources.
• In gevallen waarin extra documenten vereist waren, hebt u alle drie pogingen uitgeput. Daarom kunnen we niet verder gaan met de onboarding.

Wat moet ik doen als ik hulp nodig heb bij identiteitsvalidatie?

• Voor vragen over identiteitsvalidatie in Vertrouwde ondertekening neemt u contact met ons op via De ondersteuning van Azure of met behulp van Microsoft Q&A (gebruik de tag Vertrouwde ondertekening van Azure).
• Opmerking: het maken van aanvullende identiteitsvalidatieaanvragen voor dezelfde entiteit die wordt uitgevoerd, helpt niet. Aanvragen voor identiteitsvalidatie kunnen niet worden versneld.

Wat gebeurt er als de koppeling voor e-mailvalidatie is verlopen?

• Als u binnen zeven dagen op de e-mailverificatie hebt geklikt, moet u een nieuwe identiteitsvalidatieaanvraag starten. Een nieuwe koppeling kan niet opnieuw worden verzonden voor dezelfde aanvraag.

Wat gebeurt er als e-mailvalidatie 'Mislukt' zegt en u denkt dat u de koppeling voor e-mailvalidatie nooit hebt ontvangen?

• Maak een andere identiteitsvalidatieaanvraag. Zorg ervoor dat het gebruikte e-mailadres geen distributielijst is en dat het e-mailadres koppelingen van externe e-mailadressen kan ontvangen.

Certificaatprofielen

Wat gebeurt er als mijn onderwerpnaam voor vertrouwde ondertekening verschilt van de naam in mijn certificaat en de naam van mijn MSIX-pakket nu anders is?

• Voor MSIX-pakketten voor Windows-apps volgt u de richtlijnen in de permanente MSIX-identiteit.

Trekt het verwijderen van een certificaatprofiel de certificaten in?

• Als u een certificaatprofiel verwijdert, worden eerder uitgegeven certificaten niet ingetrokken of worden de handtekeningen ongeldig gemaakt; ze blijven geldig.

Kan ik een OE-veld toevoegen aan het certificaatprofiel Public Trust of Public Trust Test of VBS enclave?

• Nee OE is alleen beschikbaar voor CERTIFICATEN van HET BELEID voor Private Trust en Private Trust.

Ondertekenen

Welke typen bestanden kunnen we ondertekenen met vertrouwde ondertekening?

U kunt alle bestandstypen ondertekenen die door SignTool worden ondersteund.

Wat is het nalevingsniveau voor vertrouwde ondertekening?

FIPS 140-2 Level 3 (mHSM's).

Hoe kan ik de juiste EKU voor onze certificaten opnemen in de bronnen van het ELAM-stuurprogramma?

Zie de volgende richtlijnen voor informatie over de configuratie van het ELAM-stuurprogramma (Early Launch Antimalware) voor het beveiligen van antimalwaregebruikersmodusservices:

"Vanaf 2022 moeten alle binaire bestanden van de antimalwareservice voor de gebruikersmodus zijn ondertekend door de vertrouwde ondertekeningsservice van Microsoft. Het Vertrouwde ondertekening uitgegeven Authenticode-certificaat voor het ondertekenen van binaire bestanden voor antimalware wordt elke 30 dagen bijgewerkt voor beveiliging. Om te voorkomen dat het ELAM-stuurprogramma telkens moet worden bijgewerkt wanneer het certificaat wordt bijgewerkt, raden we aan dat leveranciers van antimalware de TBS-hash van het PCA-certificaat voor vertrouwde ondertekening opnemen in het gedeelte CertHash van het resourcebestand van het ELAM-stuurprogramma. Bovendien moet de leverancier van antimalware zijn unieke EKU-identiteit voor vertrouwde ondertekening opnemen in het veld EKU van de bronbestandsgegevens. De EKU-identiteit begint met het voorvoegsel 1.3.6.1.4.1.311.97.*.".

Zie de opslagplaats microsoft PKI Services voor het ondertekenen van pca 2021 voor het microsoft-id-certificaat voor ondertekening van code.

Wat gebeurt er als er binaire bestanden worden uitgevoerd die zijn ondertekend met vertrouwde ondertekening op een computer waarop de update voor vertrouwde ondertekening niet is geïnstalleerd (met name binaire bestanden die zijn gemarkeerd voor /INTEGRITYCHECK)?

• Als een vlag /INTEGRITYCHECK is ingesteld, wordt de handtekening van de gebruiker tijdens runtime niet gevalideerd en wordt deze niet uitgevoerd met /INTEGRITYCHECK.
• Als u wilt controleren of de update voor vertrouwde ondertekening is geïnstalleerd, raden we u aan om te controleren op een van uw verpakte /INTEGRITYCHECK-gekoppelde DLL's. U kunt een testversie gebruiken. Op deze manier kunt u uw controle voltooien en de beschikbaarheid van onze binaire bestanden /INTEGRITYCHECK-gekoppelde bestanden buiten het platform bepalen.

Mijn Sectigo-certificaat verloopt. Kan ik een nieuwe krijgen of moet ik Vertrouwde ondertekening gebruiken?

Momenteel breiden we kruisondertekende certificaten niet uit. U moet zich aanmelden met behulp van de vertrouwde ondertekeningsservice.

Hoe verschilt vertrouwde ondertekening van de ondertekening die partners doen met partnercentrum?

Ondertekening met het Partnercentrum is kernelmodusondertekening (geen wijziging met de introductie van Vertrouwde ondertekening). Onderteken de binaire bestanden in de gebruikersmodus met vertrouwde ondertekening. Voor uw apps die communiceren met de WSC-service (Windows-beveiliging Center), moet u de Code Integrity Bit (/INTEGRITYCHECK) opnemen. Zonder de handtekening voor vertrouwde ondertekening kunt u zich niet registreren bij de WSC en wordt Windows Defender parallel uitgevoerd.

Hoe krijgen we het Authenticode-certificaat?

Het Authenticode-certificaat dat wordt gebruikt voor ondertekening met het profiel, wordt nooit aan u gegeven. Alle certificaten worden veilig opgeslagen in de service en zijn alleen toegankelijk op het moment van ondertekening. Het openbare certificaat wordt altijd opgenomen in een binair bestand dat de service ondertekent.

Hoe kan ik controleren of de tijdstempelservice in orde is?

Voer de volgende opdracht uit: curl http://timestamp.acs.microsoft.com. Als statuscode 200 wordt geretourneerd, is de tijdstempelservice in orde en wordt uitgevoerd.

Ik krijg fouten wanneer ik Private Trust-ondertekening doe. Wat moet ik doen?

Als er een interne fout optreedt, controleert u of de CN-naam die u hebt gebruikt overeenkomt met de certificaatnaam. Controleer de pakketnaam en kopieer de volledige waarde voor het onderwerp vanuit Azure Portal naar het manifestbestand tijdens de ondertekening.

Ik zie de status 'Opdracht geslaagd' voor SignTool, maar het bestand lijkt niet te zijn ondertekend wanneer ik de digitale handtekening controleer. Wat moet ik doen?

Als de handtekening niet wordt weergegeven in de eigenschap digitale handtekening, voert u deze opdracht uit: .\signtool.exe verify /v /debug /pa fileName Niet alle bestandstypen bevatten het tabblad Handtekening in Eigenschappen.

Hoe kan ik pop-upreferenties in een virtuele Azure-machine oplossen wanneer ik de opdracht SignTool + dlib uitvoer?

1. Maak een door de gebruiker toegewezen beheerde identiteit.
2. Voeg de door de gebruiker toegewezen beheerde identiteit toe aan de virtuele machine:
   1. Selecteer de VM.
   2. Selecteer Identiteit in het linkermenu en selecteer vervolgens Door de gebruiker toegewezen.
   3. Selecteer Toevoegen om de beheerde identiteit toe te voegen.
3. Voeg in de resourcegroep (of het abonnement) met de rol Vertrouwde handtekeningcertificaatprofielaantekening de door de gebruiker toegewezen beheerde identiteit toe aan de rol. Als u de juiste rol wilt toewijzen, gaat u naar Roltoewijzingen voor Toegangsbeheer>

Hoe kan ik pop-upreferenties oplossen wanneer ik Google Cloud Platform gebruik?

• Omdat Google Cloud Platform (GCP) standaard geen door Azure beheerde identiteitsresource heeft, stelt u een omgevingsreferentie in. Gebruik de klasse EnvironmentCredential om de referentie in te stellen. U wordt aangeraden deze variabelen te gebruiken:

  • AZURE_TENANT_ID voor de Microsoft Entra-tenant-id (directory).
  • AZURE_CLIENT_ID voor de client-id (toepassing) van een app-registratie in de tenant.
  • AZURE_CLIENT_SECRET voor een clientgeheim dat is gegenereerd voor de app-registratie.

• Als u een client-id en geheim wilt maken, volgt u de richtlijnen in Een service-principal maken.

• Nadat u de client-id en het geheim hebt gemaakt, gaat u naar de resourcegroep (of het abonnement) met de rol Vertrouwde handtekeningcertificaatprofielondertekening en voegt u deze app toe aan de rol.

Wat gebeurt er als mijn vertrouwde ondertekeningsaccount is onderbroken?

Als een certificaat wordt misbruikt of misbruikt volgens de gebruiksvoorwaarden van de service, wordt het account door vertrouwde ondertekening onderbroken of wordt een handtekeningcertificaat of beide ingetrokken. In dit scenario nemen we rechtstreeks contact met u op en volgen we de richtlijnen in het CA/Browser Forum CSBR's.

Wat gebeurt er als ik mijn abonnements-id of tenant-id wijzig?

Op dit moment kunnen resources voor vertrouwde ondertekening niet worden gemigreerd tussen abonnementen of tenants of resourcegroepen of resources. Als u een wijziging wilt aanbrengen in uw tenant-id of abonnements-id, moet u alle resources voor vertrouwde ondertekening opnieuw maken.

Geeft vertrouwde ondertekening EV-certificaten?

Nee, Trusted Signing geeft geen EV-certificaten (Extended Validation) uit. We zijn niet van plan om in de toekomst EV-certificaten uit te geven.

Waarom blijft SignTool herhalen wanneer het MSIX-pakketten ondertekent?

Meerdere keren herhalen wordt verwacht in MSIX-ondertekening, omdat elk toepassingsbestand en manifestbestand in het pakket is ondertekend.

Veelvoorkomende foutcodes en oplossingen

Fout	DETAILS
400	Een Azure-verificatiefout. Deze fout wordt veroorzaakt door het opslaan in cache van certificaten. Voeg dit toe "ExcludeCredentials": ["<include list of credentials to be excluded>"] aan uw JSON-bestand. Zie DefaultAzureCredential Class (Azure.Identity) voor meer informatie.
401	U bent niet geverifieerd. Meld u af en meld u vervolgens opnieuw aan.
404	Zorg ervoor dat er geen wijzigingen zijn aangebracht in uw configuratie- of firewallregels.
"MsalUiRequiredException"	Deze fout treedt meestal op vanwege de lokale cache. De fout wordt opgelost nadat de cache is vernieuwd vanuit Azure.
Er zijn geen certificaten gevonden die voldoen aan alle opgegeven criteria.	Controleer het dlib-pad, de dlib-versie, de dlib-naam, de bestandsnaam en de SignTool-versie. Deze fout geeft aan dat SignTool probeert certificaten op te halen van uw lokale computer in plaats van vertrouwde handtekeningcertificaten te gebruiken.
Fout: 'SignerSign() is mislukt.' (-2147024846/0x80070032)	Zorg ervoor dat u de nieuwste versie van SignTool gebruikt.
Foutcode (-2147024885/0x8007000b)	Voor MSIX-ondertekening geeft deze fout aan dat de uitgever in het manifestbestand niet overeenkomt met het certificaatonderwerp. Controleer de uitgever die wordt vermeld in het manifestbestand.
Foutcode (-2147467259/0x80004005)	Als u service-principal en verificatie op basis van certificaten gebruikt, controleert u de omgevingsvariabelen die worden vermeld in de tabel voor 'Service-principal met certificaat'.
Geen foutcodes, SignTool op de achtergrond mislukt	Zorg ervoor dat de relevante .NET Runtime-versie is geïnstalleerd.
Azure.Identity.CredentialUnavailableException	Deze fout wordt mogelijk weergegeven in omgevingen buiten Azure. Als u buiten Azure werkt, raden we u aan ManagedIdentity uit te sluiten aan uw manifestbestand.
403	- Controleer uw rol voor vertrouwde ondertekening. - Controleer de naam van het vertrouwde handtekeningaccount en de profielnaam van het vertrouwde handtekeningcertificaat in uw metadata.json bestand. - Controleer het dlib- en dlib-pad. - C++ Redistributables installeren van https://docs.microsoft.com/en-us/cpp/windows/latest-supported-vc-redist?view=msvc-170. - Controleer uw .NET-versie, dlib-versie en Windows SDK-versie. - Controleer of de rol Vertrouwde ondertekening is toegewezen aan de identiteit die het bestand probeert te ondertekenen. - Controleer of de bijbehorende identiteitsvalidatie de status Voltooid heeft. - Controleer of u toegang hebt tot het eindpunt voor vertrouwde ondertekening vanaf deze virtuele machine of computer. Voer de actie uit op een andere virtuele machine of computer. De fout kan duiden op een netwerkprobleem. - Voor privévertrouwensscenario's 403: De gebruikersobject-id die de ondertekening doet, verschilt van de gebruikersobject-id die aanroept Get-azCodeSigningRootCert. De juiste object-id moet de rol Trusted Signing Certificate Profile Signer hebben.

Kostenbeheer en facturering

Hoe kan ik gebruikskosten en factureringsgegevens weergeven voor resources voor vertrouwde ondertekening?

Als u kostengegevens wilt bekijken, gaat u in Azure Portal naar uw abonnementsoverzicht. Selecteer Cost Management in het linkermenu. Zie Cost Management voor meer informatie.

Als u de factureringsgegevens wilt bekijken, gaat u naar uw abonnementsoverzicht. Selecteer Facturering in het linkermenu. Zie Facturering voor meer informatie.

Is de prijs pro rato of het is een volledig bedrag, ongeacht wanneer u begint met het gebruik van de service?

De prijzen worden niet berekend op pro rata basis. De factuur wordt gegenereerd met het volledige bedrag voor de SKU die u hebt geselecteerd toen u het account maakte, ongeacht wanneer u de service gaat gebruiken nadat u uw account hebt gemaakt.

Wat bevat het ondertekeningsquotum?

Het ondertekeningsquotum omvat alle ondertekeningsactiviteiten in elk certificaatprofiel binnen een vertrouwd handtekeningaccount.

De registratie bij de Trusted Signing-service ongedaan maken

Hoe kan ik de inschrijving bij vertrouwde ondertekening ongedaan maken?

Als u de inschrijving bij Vertrouwde ondertekening ongedaan wilt maken, verwijdert u uw account voor vertrouwde ondertekening. Als u het account verwijdert, worden ook de bijbehorende identiteitsvalidatie- en certificaatprofielen verwijderd. Hierdoor wordt het vernieuwen van certificaten gestopt, waardoor het ondertekeningsproces dat is gekoppeld aan die specifieke certificaatprofielen, wordt gestopt. Het verwijderen van het account heeft echter geen invloed op de certificaten die al zijn gebruikt om uw bestanden te ondertekenen.

Krijg antwoorden op veelgestelde vragen over de vertrouwde ondertekeningsservice.

De Trusted Signing-service ondersteunt alle versies van Windows die ondersteuning bieden voor het algemene beveiligingsbeleid voor code-integriteit in de gebruikersmodus (UMCI).

Ondersteuning voor ondertekende binaire bestanden is toegevoegd in de CTL-update (Certificate Trust List) van juli 2021 voor Windows. Wanneer in een typisch scenario een end-entity-certificaat uit een keten op een computer wordt aangetroffen, haalt het systeem het basiscertificaat van de certificeringsinstantie (CA) op en voegt het toe aan het basisarchief van de vertrouwensrelatie.

Zie Windows-ondersteuning voor vertrouwde ondertekening voor meer informatie over Windows-ondersteuning voor vertrouwde ondertekening.

Vraag uw Microsoft Entra-beheerder om uw aanvraag voor toegang goed te keuren. Zie de volgende artikelen voor meer informatie over machtigingen:

• Overzicht van toestemming en machtigingen
• De werkstroom voor beheerderstoestemming configureren
• Machtigingen controleren die zijn verleend aan toepassingen

Als u de Microsoft.CodeSigning-app wilt registreren, gaat u naar het deelvenster Resourceproviders voor abonnementen, zoals wordt weergegeven in dit voorbeeld:

• Zie prijzen voor vertrouwde ondertekening voor informatie over prijzen.

• U kunt een ondersteuningsticket maken in Azure Portal om ondersteuning voor Azure op te halen. U kunt ook een vraag plaatsen of zoeken naar verwante vragen over Microsoft Q&A (gebruik de tag Vertrouwde ondertekening van Azure) of Stack Overflow (gebruik de tag voor vertrouwde ondertekening).

• Voor MSIX-pakketten voor Windows-apps volgt u de richtlijnen in de permanente MSIX-identiteit.

• Nee, u kunt geen aangepaste algemene naam (CN) of een aangepaste organisatie (O) gebruiken met vertrouwde ondertekening. Op dit moment biedt de Trusted Signing-service geen ondersteuning voor aanpassing. Houd er ook rekening mee dat cn-waarden altijd de gevalideerde naam Microsoft Corporationvan de rechtspersoon (bijvoorbeeld) moeten zijn op basis van het Forum van de certificeringsinstantie (CA/Browser Forum) in de basislijnvereisten voor ondertekening van programmacode (CSDR's) voor openbaar vertrouwde certificaten voor ondertekening van programmacode.

• Als de knop Nieuwe identiteitsvalidatie in De Azure-portal inactief is en u deze niet kunt selecteren, hebt u niet de rol Trusted Signing Identity Verifier toegewezen aan uw account. Als u uzelf de rol wilt toewijzen, voert u de stappen in Rollen toewijzen in Vertrouwde ondertekening uit.

• Als u identiteitsvalidatie niet verlengt vóór de vervaldatum, stopt de verlenging van het certificaat. Alle ondertekeningsprocessen die aan deze specifieke certificaatprofielen zijn gekoppeld, worden gestopt. Als u wilt doorgaan met het ondertekenen met de service Vertrouwde ondertekening, maakt u een andere identiteitsvalidatie en koppelt u deze aan de relevante certificaatprofielen. We verzenden meerdere herinneringen vanaf 60 dagen vóór de vervaldatum van een identiteitsvalidatie om u te helpen met het vernieuwen van uw identiteitsvalidatie.

• Op dit moment kan een organisatie met een jaarbasisdatum van minder dan drie jaar niet worden ge onboardd en mislukt de identiteitsvalidatie.
• Een organisatie die is gebaseerd op de VS of Canada, kan niet worden ge onboardd.
• Als uw organisatie een jaardatum van meer dan drie jaar heeft, moet u ervoor zorgen dat u geen koppeling voor e-mailverificatie hebt gemist die is verzonden naar het primaire e-mailadres dat u hebt ingevoerd toen u uw identiteitsvalidatieaanvraag maakte. De koppeling verloopt na zeven dagen. Als u de e-mail over het hoofd hebt gezien of als u de koppeling niet binnen zeven dagen in de e-mail hebt geselecteerd, maakt u een nieuwe identiteitsvalidatieaanvraag.
• Als identiteitsvalidatie mislukt, maar niet vanwege een gemiste e-mailverificatie, kon het Microsoft-validatieteam geen beslissing nemen over uw aanvraag op basis van de informatie die u hebt opgegeven. Zelfs als u meer documentatie opgeeft wanneer we dit aanvragen, kunnen we u niet onboarden bij Vertrouwde ondertekening als we de informatie niet kunnen valideren. In dit scenario wordt u aangeraden uw account voor vertrouwde ondertekening te verwijderen, zodat u niet in rekening wordt gebracht voor ongebruikte resources.
• In gevallen waarin extra documenten vereist waren, hebt u alle drie pogingen uitgeput. Daarom kunnen we niet verder gaan met de onboarding.

• Voor vragen over identiteitsvalidatie in Vertrouwde ondertekening neemt u contact met ons op via De ondersteuning van Azure of met behulp van Microsoft Q&A (gebruik de tag Vertrouwde ondertekening van Azure).
• Opmerking: het maken van aanvullende identiteitsvalidatieaanvragen voor dezelfde entiteit die wordt uitgevoerd, helpt niet. Aanvragen voor identiteitsvalidatie kunnen niet worden versneld.

• Als u binnen zeven dagen op de e-mailverificatie hebt geklikt, moet u een nieuwe identiteitsvalidatieaanvraag starten. Een nieuwe koppeling kan niet opnieuw worden verzonden voor dezelfde aanvraag.

• Maak een andere identiteitsvalidatieaanvraag. Zorg ervoor dat het gebruikte e-mailadres geen distributielijst is en dat het e-mailadres koppelingen van externe e-mailadressen kan ontvangen.

• Voor MSIX-pakketten voor Windows-apps volgt u de richtlijnen in de permanente MSIX-identiteit.

• Als u een certificaatprofiel verwijdert, worden eerder uitgegeven certificaten niet ingetrokken of worden de handtekeningen ongeldig gemaakt; ze blijven geldig.

• Nee OE is alleen beschikbaar voor CERTIFICATEN van HET BELEID voor Private Trust en Private Trust.

U kunt alle bestandstypen ondertekenen die door SignTool worden ondersteund.

FIPS 140-2 Level 3 (mHSM's).

Zie de volgende richtlijnen voor informatie over de configuratie van het ELAM-stuurprogramma (Early Launch Antimalware) voor het beveiligen van antimalwaregebruikersmodusservices:

"Vanaf 2022 moeten alle binaire bestanden van de antimalwareservice voor de gebruikersmodus zijn ondertekend door de vertrouwde ondertekeningsservice van Microsoft. Het Vertrouwde ondertekening uitgegeven Authenticode-certificaat voor het ondertekenen van binaire bestanden voor antimalware wordt elke 30 dagen bijgewerkt voor beveiliging. Om te voorkomen dat het ELAM-stuurprogramma telkens moet worden bijgewerkt wanneer het certificaat wordt bijgewerkt, raden we aan dat leveranciers van antimalware de TBS-hash van het PCA-certificaat voor vertrouwde ondertekening opnemen in het gedeelte CertHash van het resourcebestand van het ELAM-stuurprogramma. Bovendien moet de leverancier van antimalware zijn unieke EKU-identiteit voor vertrouwde ondertekening opnemen in het veld EKU van de bronbestandsgegevens. De EKU-identiteit begint met het voorvoegsel 1.3.6.1.4.1.311.97.*.".

Zie de opslagplaats microsoft PKI Services voor het ondertekenen van pca 2021 voor het microsoft-id-certificaat voor ondertekening van code.

• Als een vlag /INTEGRITYCHECK is ingesteld, wordt de handtekening van de gebruiker tijdens runtime niet gevalideerd en wordt deze niet uitgevoerd met /INTEGRITYCHECK.
• Als u wilt controleren of de update voor vertrouwde ondertekening is geïnstalleerd, raden we u aan om te controleren op een van uw verpakte /INTEGRITYCHECK-gekoppelde DLL's. U kunt een testversie gebruiken. Op deze manier kunt u uw controle voltooien en de beschikbaarheid van onze binaire bestanden /INTEGRITYCHECK-gekoppelde bestanden buiten het platform bepalen.

Momenteel breiden we kruisondertekende certificaten niet uit. U moet zich aanmelden met behulp van de vertrouwde ondertekeningsservice.

Ondertekening met het Partnercentrum is kernelmodusondertekening (geen wijziging met de introductie van Vertrouwde ondertekening). Onderteken de binaire bestanden in de gebruikersmodus met vertrouwde ondertekening. Voor uw apps die communiceren met de WSC-service (Windows-beveiliging Center), moet u de Code Integrity Bit (/INTEGRITYCHECK) opnemen. Zonder de handtekening voor vertrouwde ondertekening kunt u zich niet registreren bij de WSC en wordt Windows Defender parallel uitgevoerd.

Het Authenticode-certificaat dat wordt gebruikt voor ondertekening met het profiel, wordt nooit aan u gegeven. Alle certificaten worden veilig opgeslagen in de service en zijn alleen toegankelijk op het moment van ondertekening. Het openbare certificaat wordt altijd opgenomen in een binair bestand dat de service ondertekent.

Voer de volgende opdracht uit: curl http://timestamp.acs.microsoft.com. Als statuscode 200 wordt geretourneerd, is de tijdstempelservice in orde en wordt uitgevoerd.

Als er een interne fout optreedt, controleert u of de CN-naam die u hebt gebruikt overeenkomt met de certificaatnaam. Controleer de pakketnaam en kopieer de volledige waarde voor het onderwerp vanuit Azure Portal naar het manifestbestand tijdens de ondertekening.

Als de handtekening niet wordt weergegeven in de eigenschap digitale handtekening, voert u deze opdracht uit: .\signtool.exe verify /v /debug /pa fileName Niet alle bestandstypen bevatten het tabblad Handtekening in Eigenschappen.

1. Maak een door de gebruiker toegewezen beheerde identiteit.
2. Voeg de door de gebruiker toegewezen beheerde identiteit toe aan de virtuele machine:
   1. Selecteer de VM.
   2. Selecteer Identiteit in het linkermenu en selecteer vervolgens Door de gebruiker toegewezen.
   3. Selecteer Toevoegen om de beheerde identiteit toe te voegen.
3. Voeg in de resourcegroep (of het abonnement) met de rol Vertrouwde handtekeningcertificaatprofielaantekening de door de gebruiker toegewezen beheerde identiteit toe aan de rol. Als u de juiste rol wilt toewijzen, gaat u naar Roltoewijzingen voor Toegangsbeheer>

• Omdat Google Cloud Platform (GCP) standaard geen door Azure beheerde identiteitsresource heeft, stelt u een omgevingsreferentie in. Gebruik de klasse EnvironmentCredential om de referentie in te stellen. U wordt aangeraden deze variabelen te gebruiken:

  • AZURE_TENANT_ID voor de Microsoft Entra-tenant-id (directory).
  • AZURE_CLIENT_ID voor de client-id (toepassing) van een app-registratie in de tenant.
  • AZURE_CLIENT_SECRET voor een clientgeheim dat is gegenereerd voor de app-registratie.

• Als u een client-id en geheim wilt maken, volgt u de richtlijnen in Een service-principal maken.

• Nadat u de client-id en het geheim hebt gemaakt, gaat u naar de resourcegroep (of het abonnement) met de rol Vertrouwde handtekeningcertificaatprofielondertekening en voegt u deze app toe aan de rol.

Als een certificaat wordt misbruikt of misbruikt volgens de gebruiksvoorwaarden van de service, wordt het account door vertrouwde ondertekening onderbroken of wordt een handtekeningcertificaat of beide ingetrokken. In dit scenario nemen we rechtstreeks contact met u op en volgen we de richtlijnen in het CA/Browser Forum CSBR's.

Op dit moment kunnen resources voor vertrouwde ondertekening niet worden gemigreerd tussen abonnementen of tenants of resourcegroepen of resources. Als u een wijziging wilt aanbrengen in uw tenant-id of abonnements-id, moet u alle resources voor vertrouwde ondertekening opnieuw maken.

Nee, Trusted Signing geeft geen EV-certificaten (Extended Validation) uit. We zijn niet van plan om in de toekomst EV-certificaten uit te geven.

Meerdere keren herhalen wordt verwacht in MSIX-ondertekening, omdat elk toepassingsbestand en manifestbestand in het pakket is ondertekend.

Fout	DETAILS
400	Een Azure-verificatiefout. Deze fout wordt veroorzaakt door het opslaan in cache van certificaten. Voeg dit toe "ExcludeCredentials": ["<include list of credentials to be excluded>"] aan uw JSON-bestand. Zie DefaultAzureCredential Class (Azure.Identity) voor meer informatie.
401	U bent niet geverifieerd. Meld u af en meld u vervolgens opnieuw aan.
404	Zorg ervoor dat er geen wijzigingen zijn aangebracht in uw configuratie- of firewallregels.
"MsalUiRequiredException"	Deze fout treedt meestal op vanwege de lokale cache. De fout wordt opgelost nadat de cache is vernieuwd vanuit Azure.
Er zijn geen certificaten gevonden die voldoen aan alle opgegeven criteria.	Controleer het dlib-pad, de dlib-versie, de dlib-naam, de bestandsnaam en de SignTool-versie. Deze fout geeft aan dat SignTool probeert certificaten op te halen van uw lokale computer in plaats van vertrouwde handtekeningcertificaten te gebruiken.
Fout: 'SignerSign() is mislukt.' (-2147024846/0x80070032)	Zorg ervoor dat u de nieuwste versie van SignTool gebruikt.
Foutcode (-2147024885/0x8007000b)	Voor MSIX-ondertekening geeft deze fout aan dat de uitgever in het manifestbestand niet overeenkomt met het certificaatonderwerp. Controleer de uitgever die wordt vermeld in het manifestbestand.
Foutcode (-2147467259/0x80004005)	Als u service-principal en verificatie op basis van certificaten gebruikt, controleert u de omgevingsvariabelen die worden vermeld in de tabel voor 'Service-principal met certificaat'.
Geen foutcodes, SignTool op de achtergrond mislukt	Zorg ervoor dat de relevante .NET Runtime-versie is geïnstalleerd.
Azure.Identity.CredentialUnavailableException	Deze fout wordt mogelijk weergegeven in omgevingen buiten Azure. Als u buiten Azure werkt, raden we u aan ManagedIdentity uit te sluiten aan uw manifestbestand.
403	- Controleer uw rol voor vertrouwde ondertekening. - Controleer de naam van het vertrouwde handtekeningaccount en de profielnaam van het vertrouwde handtekeningcertificaat in uw metadata.json bestand. - Controleer het dlib- en dlib-pad. - C++ Redistributables installeren van https://docs.microsoft.com/en-us/cpp/windows/latest-supported-vc-redist?view=msvc-170. - Controleer uw .NET-versie, dlib-versie en Windows SDK-versie. - Controleer of de rol Vertrouwde ondertekening is toegewezen aan de identiteit die het bestand probeert te ondertekenen. - Controleer of de bijbehorende identiteitsvalidatie de status Voltooid heeft. - Controleer of u toegang hebt tot het eindpunt voor vertrouwde ondertekening vanaf deze virtuele machine of computer. Voer de actie uit op een andere virtuele machine of computer. De fout kan duiden op een netwerkprobleem. - Voor privévertrouwensscenario's 403: De gebruikersobject-id die de ondertekening doet, verschilt van de gebruikersobject-id die aanroept Get-azCodeSigningRootCert. De juiste object-id moet de rol Trusted Signing Certificate Profile Signer hebben.

Als u kostengegevens wilt bekijken, gaat u in Azure Portal naar uw abonnementsoverzicht. Selecteer Cost Management in het linkermenu. Zie Cost Management voor meer informatie.

Als u de factureringsgegevens wilt bekijken, gaat u naar uw abonnementsoverzicht. Selecteer Facturering in het linkermenu. Zie Facturering voor meer informatie.

De prijzen worden niet berekend op pro rata basis. De factuur wordt gegenereerd met het volledige bedrag voor de SKU die u hebt geselecteerd toen u het account maakte, ongeacht wanneer u de service gaat gebruiken nadat u uw account hebt gemaakt.

Het ondertekeningsquotum omvat alle ondertekeningsactiviteiten in elk certificaatprofiel binnen een vertrouwd handtekeningaccount.

Als u de inschrijving bij Vertrouwde ondertekening ongedaan wilt maken, verwijdert u uw account voor vertrouwde ondertekening. Als u het account verwijdert, worden ook de bijbehorende identiteitsvalidatie- en certificaatprofielen verwijderd. Hierdoor wordt het vernieuwen van certificaten gestopt, waardoor het ondertekeningsproces dat is gekoppeld aan die specifieke certificaatprofielen, wordt gestopt. Het verwijderen van het account heeft echter geen invloed op de certificaten die al zijn gebruikt om uw bestanden te ondertekenen.