Zasoby i role zaufanego podpisywania
Zaufane podpisywanie to zasób natywny dla platformy Azure, który oferuje pełną obsługę typowych pojęć platformy Azure, takich jak zasoby. Podobnie jak w przypadku dowolnego innego zasobu platformy Azure, usługa Trusted Signing ma własny zestaw zasobów i ról, które zostały zaprojektowane w celu uproszczenia zarządzania usługą.
W tym artykule przedstawiono zasoby i role specyficzne dla zaufanego podpisywania.
Typy zasobów zaufanego podpisywania
Zaufane podpisywanie ma następujące typy zasobów:
Zaufane konto podpisywania: konto jest logicznym kontenerem wszystkich zasobów potrzebnych do ukończenia podpisywania i zarządzania mechanizmami kontroli dostępu do poufnych zasobów.
Walidacje tożsamości: Weryfikacja tożsamości przeprowadza weryfikację organizacji lub tożsamości indywidualnej, zanim będzie można podpisać kod. Zweryfikowana organizacja lub tożsamość indywidualna to źródło atrybutów dla wartości Nazwa wyróżniająca podmiotu certyfikatu (na przykład
CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US). Role weryfikacji tożsamości są przypisywane do tożsamości dzierżawy w celu utworzenia tych zasobów.Profile certyfikatów: profil certyfikatu to atrybuty konfiguracji, które generują certyfikaty używane do podpisywania kodu. Definiuje również model zaufania i scenariusz, w którym podpisana zawartość jest zużywana przez jednostki uzależnione. Role podpisywania są przypisywane do tego zasobu w celu autoryzowania tożsamości dzierżawy w celu żądania podpisania. Warunkiem wstępnym utworzenia dowolnego profilu certyfikatu jest ukończenie co najmniej jednego żądania weryfikacji tożsamości.
W poniższej przykładowej strukturze subskrypcja platformy Azure ma grupę zasobów. W grupie zasobów można mieć jeden lub wiele zasobów konta zaufanego podpisywania z co najmniej jednym weryfikacją tożsamości i profilami certyfikatów.
Usługa obsługuje zasady public trust, private trust, code integrity (CI), enklawy zabezpieczeń opartych na wirtualizacji (VBS) i public trust test podpisywania, dlatego warto mieć wiele zaufanych kont podpisywania i profilów certyfikatów. Aby uzyskać więcej informacji na temat typów profilów certyfikatów i sposobu ich użycia, zobacz Zaufane typy certyfikatów podpisywania i zarządzanie nimi.
Uwaga
Walidacje tożsamości i profile certyfikatów są zgodne z zaufaniem publicznym lub prywatnym zaufaniem. Walidacja tożsamości zaufania publicznego jest używana tylko w przypadku profilów certyfikatów używanych w modelu zaufania publicznego. Aby uzyskać więcej informacji, zobacz Zaufane modele zaufania podpisywania.
Zaufane konto podpisywania
Zaufane konto podpisywania to logiczny kontener zasobów używanych do podpisywania certyfikatu. Zaufane konta podpisywania mogą służyć do definiowania granic projektu lub organizacji. W większości przypadków pojedyncze konto zaufanego podpisywania może spełniać wszystkie potrzeby podpisywania dla danej osoby lub organizacji. Możesz podpisać wiele artefaktów, które są dystrybuowane przez tę samą tożsamość (na przykład Contoso News, LLC), ale operacyjnie mogą istnieć granice, które chcesz narysować pod względem dostępu do podpisywania. Możesz wybrać konto zaufanego podpisywania dla każdego produktu lub zespołu, aby wyizolować sposób użycia konta lub śledzić podpisywanie. Można jednak również osiągnąć ten wzorzec izolacji na poziomie profilu certyfikatu.
Walidacje tożsamości
Walidacje tożsamości dotyczą ustanawiania tożsamości na certyfikatach używanych do podpisywania. Istnieją dwa typy: zaufanie publiczne i zaufanie prywatne. To, co definiuje dwa typy, to poziom weryfikacji tożsamości wymagany do ukończenia tworzenia zasobu weryfikacji tożsamości.
Zaufanie publiczne oznacza, że wszystkie wartości tożsamości muszą być weryfikowane zgodnie z oświadczeniem dotyczącym praktyk certyfikacji innych firm (CPS) usług PKI Firmy Microsoft. To wymaganie jest zgodne z oczekiwaniami dotyczącymi publicznie zaufanych certyfikatów podpisywania kodu.
Usługa Private Trust jest przeznaczona dla sytuacji, w których istnieje ustanowione zaufanie do tożsamości prywatnej w jednej lub wielu jednostkach uzależnionych (konsumentów podpisów) lub wewnętrznie w scenariuszach kontroli aplikacji lub biznesowych (LOB). W przypadku weryfikacji tożsamości zaufania prywatnego istnieje minimalna weryfikacja atrybutów tożsamości (na przykład
Organization Unitwartość). Weryfikacja jest ściśle skojarzona z dzierżawą platformy Azure subskrybenta (na przykładCostoso.onmicrosoft.com). Wartości w profilach certyfikatów zaufania prywatnego nie są weryfikowane poza informacjami o dzierżawie platformy Azure.
Aby uzyskać więcej informacji na temat zaufania publicznego i zaufania prywatnego, zobacz Zaufane modele zaufania podpisywania.
profile certyfikatów,
Zaufane podpisywanie udostępnia pięć łącznych typów profilów certyfikatów, których wszyscy subskrybenci mogą używać z dopasowanymi i ukończonymi zasobami weryfikacji tożsamości. Te pięć profilów certyfikatów jest dopasowanych do weryfikacji tożsamości zaufania publicznego lub prywatnego zaufania w następujący sposób:
- Zaufanie publiczne
Zaufanie publiczne: służy do podpisywania kodu i artefaktów, które mogą być publicznie dystrybuowane. Ten profil certyfikatu jest domyślnie zaufany na platformie Windows na potrzeby podpisywania kodu.
Enklawa VBS: służy do podpisywania enklaw zabezpieczeń opartych na wirtualizacji w systemie Windows.
Test zaufania publicznego: używany tylko do podpisywania testowego i nie jest domyślnie zaufany. Rozważ użycie profilów certyfikatów testu zaufania publicznego jako doskonałej opcji podpisywania kompilacji w pętli wewnętrznej.
Uwaga
Wszystkie certyfikaty w ramach typu profilu certyfikatu testu zaufania publicznego obejmują okres istnienia EKU (
1.3.6.1.4.1.311.10.3.13), który wymusza weryfikację w celu przestrzegania okresu istnienia certyfikatu podpisywania, niezależnie od obecności prawidłowego kontrapisu sygnatury czasowej.
- Zaufanie prywatne
- Zaufanie prywatne: służy do podpisywania artefaktów wewnętrznych lub prywatnych, takich jak aplikacje biznesowe i kontenery. Można go również użyć do podpisywania plików katalogu w aplikacji App Control for Business.
- Zasady ciągłej integracji zaufania prywatnego: Profil certyfikatu zasad ciągłej integracji zaufania prywatnego jest jedynym typem, który nie obejmuje podpisywania kodu EKU (
1.3.6.1.5.5.7.3.3). Ten profil certyfikatu jest przeznaczony do podpisywania plików zasad ciągłej integracji dla firm.
Obsługiwane role
Kontrola dostępu oparta na rolach (RBAC) to podstawowa koncepcja dla wszystkich zasobów platformy Azure. Funkcja zaufanego podpisywania dodaje dwie role niestandardowe spełniające potrzeby subskrybenta w celu utworzenia weryfikacji tożsamości (roli Weryfikator zaufanej tożsamości podpisywania) i podpisywania przy użyciu profilów certyfikatów (roli podpisywania profilu zaufanego certyfikatu podpisywania). Te role niestandardowe muszą być jawnie przypisane do wykonywania tych dwóch krytycznych funkcji przy użyciu zaufanego podpisywania. Poniższa tabela zawiera pełną listę ról, które obsługuje zaufane podpisywanie i ich możliwości, w tym wszystkie standardowe role platformy Azure.
| Rola | Zarządzanie kontem i wyświetlanie go | Zarządzanie profilami certyfikatów | Podpisywanie przy użyciu profilu certyfikatu | Wyświetlanie historii podpisywania | Zarządzanie przypisaniem roli | Zarządzanie weryfikacją tożsamości |
|---|---|---|---|---|---|---|
| Zaufany weryfikatortożsamości podpisywania 1 | X | |||||
| Podpisującyprofil zaufanego certyfikatu podpisywania 2 | X | X | ||||
| Właściciel | X | X | X | |||
| Współautor | X | X | ||||
| Czytelnik | X | |||||
| Administrator dostępu użytkownika | X |
1 Wymagane do utworzenia weryfikacji tożsamości lub zarządzania nią. Dostępne tylko w witrynie Azure Portal.
2 Wymagane do pomyślnego podpisania przy użyciu zaufanego podpisywania.
Powiązana zawartość
- Ukończ przewodnik Szybki start, aby skonfigurować zaufane podpisywanie.
- Dowiedz się więcej o modelach zaufania zaufanego podpisywania.
- Zapoznaj się z koncepcją certyfikatów zaufanego podpisywania i zarządzania .