Vanliga frågor och svar om Trusted Signing

Få svar på vanliga frågor om tjänsten betrodd signering.

Kom igång

Vilka versioner av Windows stöder betrodd signering?

Tjänsten Betrodd signering stöder alla versioner av Windows som stöder den allmänna säkerhetsprincipen för kodintegritet i användarläge (UMCI).

Stöd för signerade binärfiler lades till i uppdateringen av listan över betrodda certifikat i juli 2021 (CTL) för Windows. I ett typiskt scenario, när ett slutentitetscertifikat från en kedja påträffas på en dator, hämtar systemet certifikatet för rotcertifikatutfärdare (CA) och lägger till det i rotarkivet för förtroende.

Mer information om Windows-stöd för betrodd signering finns i Windows-stöd för betrodda signeringsprogram.

Hur gör jag för att ge API-åtkomst till betrodd signering i Microsoft Entra?

Be din Microsoft Entra-administratör att godkänna din begäran om åtkomst. Mer information om behörigheter finns i följande artiklar:

• Översikt över medgivande och behörigheter
• Konfigurera arbetsflödet för administratörsmedgivande
• Granska behörigheter som beviljats program

Vad händer om jag inte ser Microsoft.CodeSigning som resursprovider?

Om du vill registrera appen Microsoft.CodeSigning går du till fönstret Resursproviders för prenumeration enligt följande exempel:

Vad kostar det att använda betrodd signering?

• Prisinformation finns i Priser för betrodd signering.

Vilka är mina supportalternativ när jag konfigurerar betrodd signering?

• Du kan skapa en supportbegäran i Azure Portal för att få Azure Support. Du kan också publicera en fråga eller söka efter relaterade frågor i Microsoft Q&A (använd taggen Azure Trusted Signing) eller Stack Overflow (använd taggen trusted-signing).

Identitetsverifiering

Vad händer om mitt namn på det betrodda signeringsämnet skiljer sig från namnet i mitt certifikat och mitt MSIX-paketnamn skiljer sig nu?

• För MSIX-paket för Windows-appen följer du riktlinjerna i MSIX-beständiga identiteter.

Kan jag använda ett anpassat CN eller ett anpassat O med betrodd signering?

• Nej, du kan inte använda ett anpassat gemensamt namn (CN) eller en anpassad organisation (O) med betrodd signering. Den betrodda signeringstjänsten stöder för närvarande inte anpassning. Tänk också på att enligt certifikatutfärdarens webbläsarforum (CA/Webbläsarforum) i csbr-kraven (Code Signing Baseline Requirements) för offentligt betrodda kodsigneringscertifikat måste CN-värden alltid vara den juridiska personens verifierade namn (till exempel Microsoft Corporation).

Vad händer om knappen "Ny identitetsverifiering" i Azure Portal är inaktiv?

• Om knappen Ny identitetsverifiering i Azure-portalen är inaktiv och du inte kan välja den, har du inte tilldelats rollen Verifierare för betrodd signeringsidentitet till ditt konto. Om du vill tilldela dig själv rollen slutför du stegen i Tilldela roller i Betrodd signering.

Vad händer om min identitetsverifiering upphör att gälla?

• Om du inte förnyar identitetsverifieringen före förfallodatumet stoppas certifikatförnyelsen. Alla signeringsprocesser som är associerade med dessa specifika certifikatprofiler stoppas. Om du vill fortsätta signera med hjälp av tjänsten Betrodd signering skapar du en annan identitetsverifiering och associerar den med relevanta certifikatprofiler. Vi skickar flera påminnelser från och med 60 dagar före förfallodatumet för en identitetsvalidering för att hjälpa dig att påbörja processen med att förnya identitetsverifieringen.

Vad händer om verifieringen av organisationsidentiteten misslyckas?

• För närvarande kan inte en organisation som har ett årsgrundat datum på mindre än tre år registreras och identitetsverifieringen misslyckas.
• Det går inte att registrera en organisation som är baserad i USA eller Kanada.
• Om din organisation har ett årsgrundat datum på mer än tre år kontrollerar du att du inte missade en e-postverifieringslänk som skickades till den primära e-postadress som du angav när du skapade din identitetsverifieringsbegäran. Länken upphör att gälla efter sju dagar. Om du har förbisett e-postmeddelandet eller om du inte har valt länken i e-postmeddelandet inom sju dagar skapar du en ny begäran om identitetsverifiering.
• Om identitetsverifieringen misslyckas, men inte på grund av en missad e-postverifiering, kunde Microsofts valideringsteam inte avgöra din begäran baserat på den information som du angav. Även om du anger mer dokumentation när vi begär den kan vi inte registrera dig för betrodd signering om vi inte kan verifiera informationen. I det här scenariot rekommenderar vi att du tar bort ditt betrodda signeringskonto så att du inte debiteras för oanvända resurser.
• I de fall där ytterligare dokument krävdes har du uttömt alla tre försöken. Därför kan vi inte fortsätta med registreringen.

Vad händer om jag behöver hjälp med identitetsverifiering?

• Om du vill ha frågor om identitetsverifiering i betrodd signering kontaktar du oss via Azure-supporten eller med hjälp av Microsoft Q&A (använd taggen Azure Trusted Signing).
• Obs! Det hjälper inte att skapa ytterligare begäranden om identitetsverifiering för samma entitet som pågår. Begäranden om identitetsverifiering kan inte påskyndas.

Vad händer om länken för e-postverifiering har upphört att gälla?

• Om du missade att klicka på e-postverifieringen inom 7 dagar måste du starta en ny identitetsverifieringsbegäran. Det går inte att skicka en ny länk igen för samma begäran.

Vad händer om e-postverifieringen säger "Misslyckades" och du tror att du aldrig fick e-postvalideringslänken?

• Skapa en annan begäran om identitetsverifiering. Kontrollera att den e-postadress som används inte är en distributionslista och att e-postadressen kan ta emot länkar från externa e-postadresser.

Certifikatprofiler

Vad händer om mitt namn på det betrodda signeringsämnet skiljer sig från namnet i mitt certifikat och mitt MSIX-paketnamn skiljer sig nu?

• För MSIX-paket för Windows-appen följer du riktlinjerna i MSIX-beständiga identiteter.

Återkallar borttagningen av en certifikatprofil certifikaten?

• Om du tar bort en certifikatprofil återkallas inte tidigare utfärdade certifikat eller ogiltigförklarar deras signaturer. de förblir giltiga.

Kan jag lägga till OU-fältet i certifikatprofilen Public Trust eller Public Trust Test eller VBS Enclave?

• Nej. Organisationsenheten är endast tillgänglig för CI-principcertifikat för privat förtroende och privat förtroende.

Signering

Vilka typer av filer kan vi signera med hjälp av betrodd signering?

Du kan signera alla filtyper som SignTool stöder.

Vad är efterlevnadsnivån för betrodd signering?

FIPS 140-2 Nivå 3 (mHSM).

Hur gör jag för att inkludera lämplig EKU för våra certifikat i ELAM-drivrutinsresurserna?

Information om elam-drivrutinskonfigurationen (Early Launch Antimalware) för att skydda tjänster i användarläge för program mot skadlig kod finns i följande vägledning:

"Från och med 2022 måste alla binärfiler för tjänsten mot skadlig kod i användarläge signeras av Microsofts signeringstjänst för betrodd signering. Det betrodda signeringsutfärdade Authenticode-certifikatet för signering av binärfiler mot skadlig kod uppdateras var 30:e dag för säkerhet. För att förhindra behovet av att uppdatera ELAM-drivrutinen varje gång certifikatet uppdateras rekommenderar vi att leverantörer av skadlig kod inkluderar TBS-hash-certifikatet för betrodd signering i CertHash-delen av ELAM-drivrutinsresursfilens information. Dessutom måste leverantören av skadlig kod inkludera sin unika EKU-identitet för betrodd signering i fältet EKU i resursfilens information. EKU-identiteten börjar med prefixet 1.3.6.1.4.1.311.97.*.

Information om Microsoft ID Verified Code Signing PCA 2021-certifikat finns i Microsoft PKI Services-lagringsplatsen.

Vad händer om vi kör binärfiler som är signerade med hjälp av betrodd signering på en dator som inte har uppdateringen Betrodd signering (särskilt binärfiler som har flaggats för /INTEGRITYCHECK)?

• Om en /INTEGRITYCHECK-flagga har angetts verifieras inte användarens signatur vid körning och den körs inte med /INTEGRITYCHECK.
• För att kontrollera om uppdateringen av betrodd signering är installerad rekommenderar vi att du kontrollerar mot en av dina paketerade /INTEGRITYCHECK-länkade DLL:er. Du kan använda en testversion. På så sätt kan du slutföra kontrollen och fastställa tillgängligheten för våra /INTEGRITYCHECK-länkade binärfiler utanför plattformen.

Mitt Sectigo-certifikat upphör att gälla. Kan jag skaffa en ny eller måste jag använda betrodd signering?

För närvarande utökar vi inte korssignerade certifikat. Du måste signera med hjälp av tjänsten Betrodd signering.

Hur skiljer sig betrodd signering från den signering som partner gör med Partnercenter?

Signering med Partnercenter är kernellägessignering (ingen ändring med introduktionen av betrodd signering). Signera binärfilerna i användarläge med hjälp av Betrodd signering. För dina appar som interagerar med tjänsten Windows-säkerhet Center (WSC) måste du inkludera kodintegritetsbiten (/INTEGRITYCHECK). Utan signaturen Betrodd signering kan du inte registrera dig med WSC och Windows Defender körs parallellt.

Hur hämtar vi Authenticode-certifikatet?

Det Authenticode-certifikat som används för signering med profilen ges aldrig till dig. Alla certifikat lagras säkert i tjänsten och är endast tillgängliga vid tidpunkten för signeringen. Det offentliga certifikatet ingår alltid i alla binärfiler som tjänsten signerar.

Hur gör jag för att kontrollera om tidsstämpeltjänsten är felfri?

Kör följande kommando: curl http://timestamp.acs.microsoft.com. Om statuskod 200 returneras är tidsstämpeltjänsten felfri och körs.

Jag får fel när jag signerar Private Trust. Vad ska jag göra?

Om du får ett internt fel kontrollerar du att det CN-namn som du använde matchar certifikatnamnet. Verifiera paketnamnet och kopiera det fullständiga värdet för ämnet från Azure Portal till manifestfilen under signeringen.

Jag ser statusen "Kommandot lyckades" för SignTool, men filen verkar inte vara signerad när jag kontrollerar den digitala signaturen. Vad ska jag göra?

Om signaturen inte visas i egenskapen digital signatur kör du det här kommandot: .\signtool.exe verify /v /debug /pa fileName. Alla filtyper innehåller inte fliken Signatur i Egenskaper.

Hur gör jag för att åtgärda popup-autentiseringsuppgifter på en virtuell Azure-dator när jag kör kommandot SignTool + dlib?

1. Skapa en användartilldelad hanterad identitet.
2. Lägg till den användartilldelade hanterade identiteten till den virtuella datorn:
   1. Välj VM.
   2. På den vänstra menyn väljer du Identitet och sedan Användartilldelad.
   3. Välj Lägg till för att lägga till den hanterade identiteten.
3. I resursgruppen (eller prenumerationen) som har rollen Signerad certifikatprofil för betrodd signering lägger du till den användartilldelade hanterade identiteten i rollen. Om du vill tilldela rätt roll går du till Åtkomstkontroll (IAM)>Rolltilldelningar.

Hur gör jag för att åtgärda popup-autentiseringsuppgifter när jag använder Google Cloud Platform?

• Eftersom Google Cloud Platform (GCP) inte har någon Azure-hanterad identitetsresurs som standard konfigurerar du en miljöautentiseringsuppgift. Använd klassen EnvironmentCredential för att konfigurera autentiseringsuppgifterna. Vi rekommenderar att du använder dessa variabler:

  • AZURE_TENANT_ID för Microsoft Entra-klientorganisationens (katalog)-ID.
  • AZURE_CLIENT_ID för klient-ID:t (program) för en appregistrering i klientorganisationen.
  • AZURE_CLIENT_SECRET för en klienthemlighet som genererades för appregistreringen.

• Om du vill skapa ett klient-ID och en hemlighet följer du riktlinjerna i Skapa ett huvudnamn för tjänsten.

• När du har skapat klient-ID:t och hemligheten går du till resursgruppen (eller prenumerationen) som har rollen Signerad certifikatprofil för betrodd signering och lägger till den här appen i rollen.

Vad händer om mitt konto för betrodd signering är inaktiverat?

Om ett certifikat missbrukas eller missbrukas enligt användningsvillkoren för tjänsten inaktiverar betrodd signering kontot eller återkallar ett signeringscertifikat eller båda. I det här scenariot interagerar vi direkt med dig och följer riktlinjerna i CSBR:erna för CA/Browser Forum.

Vad händer om jag ändrar mitt prenumerations-ID eller klient-ID?

För närvarande kan betrodda signeringsresurser inte migreras mellan prenumerationer, klientorganisationer eller resursgrupper eller resurser. Om du vill göra ändringar i ditt klientorganisations-ID eller prenumerations-ID måste du skapa alla dina betrodda signeringsresurser igen.

Utfärdar betrodd signering EV-certifikat?

Nej, betrodd signering utfärdar inte certifikat för utökad validering (EV). Vi planerar inte att utfärda EV-certifikat i framtiden.

Varför fortsätter SignTool att loopa när det signerar MSIX-paket?

Loopning flera gånger förväntas i MSIX-signering eftersom varje programfil och manifestfil i paketet är signerad.

Vanliga felkoder och åtgärder

Fel	Detaljer
400	Ett Azure-autentiseringsfel. Det här felet beror på cachelagring av certifikat. Lägg till "ExcludeCredentials": ["<include list of credentials to be excluded>"] i JSON-filen. Mer information finns i DefaultAzureCredential Class (Azure.Identity).
401	Du är inte autentiserad. Logga ut och logga sedan in igen.
404	Kontrollera att inga ändringar har gjorts i dina konfigurations- eller brandväggsregler.
"MsalUiRequiredException"	Det här felet uppstår vanligtvis på grund av den lokala cachen. Felet löser sig när cachen har uppdaterats från Azure.
Inga certifikat hittades som uppfyllde alla angivna kriterier.	Kontrollera dlib-sökvägen, dlib-versionen, dlib-namnet, filnamnet och SignTool-versionen. Det här felet anger att SignTool försöker hämta certifikat från den lokala datorn i stället för att använda betrodda signeringscertifikat.
Fel: "SignerSign() misslyckades." (-2147024846/0x80070032)	Kontrollera att du använder den senaste versionen av SignTool.
Felkod (-2147024885/0x8007000b)	För MSIX-signering anger det här felet att utgivaren i manifestfilen inte matchar certifikatämnet. Kontrollera utgivaren som visas i manifestfilen.
Felkod (-2147467259/0x80004005)	Om du använder tjänstens huvudnamn + certifikatbaserad autentisering kontrollerar du miljövariablerna i tabellen för "Tjänstens huvudnamn med certifikat".
Inga felkoder, SignTool misslyckas tyst	Kontrollera att relevant .NET-körningsversion är installerad.
Azure.Identity.CredentialUnavailableException	Du kan se det här felet i miljöer utanför Azure. Om du arbetar utanför Azure rekommenderar vi att du lägger till "exkludera ManagedIdentity" i manifestfilen.
403	– Kontrollera din roll för betrodd signering. – Kontrollera namnet på det betrodda signeringskontot och certifikatprofilnamnet för betrodd signering i filenmetadata.json . – Kontrollera sökvägen dlib och dlib. – Installera C++ Redistributables från https://docs.microsoft.com/en-us/cpp/windows/latest-supported-vc-redist?view=msvc-170. – Kontrollera din .NET-version, dlib-version och Windows SDK-version. – Kontrollera om rollen Betrodd signering har tilldelats till den identitet som försöker signera filen. – Kontrollera om motsvarande identitetsverifiering har statusen Slutförd. – Kontrollera om du har åtkomst till slutpunkten för betrodd signering från den här virtuella datorn eller datorn. Prova att köra åtgärden på en annan virtuell dator eller dator. Felet kan tyda på ett nätverksproblem. – För Private Trust-scenarier 403: Användarobjekt-ID:t som utför signeringen skiljer sig från användarobjekt-ID:t som anropar Get-azCodeSigningRootCert. Rätt objekt-ID måste ha rollen Signerare för betrodd signeringscertifikatprofil.

Kostnadshantering och fakturering

Hur gör jag för att visa användningskostnader och faktureringsinformation för betrodda signeringsresurser?

Om du vill granska kostnadsinformation går du till prenumerationsöversikten i Azure Portal. På den vänstra menyn väljer du Cost Management. Mer information finns i Cost Management.

Om du vill granska faktureringsinformationen går du till prenumerationsöversikten. Välj Fakturering på den vänstra menyn. Mer information finns i Fakturering.

Är priset proportionellt eller är det fullt belopp oavsett när du börjar använda tjänsten?

Prissättningen beräknas inte proportionellt. Fakturan genereras med hela beloppet för den SKU som du valde när du skapade kontot, oavsett när du börjar använda tjänsten när du har skapat ditt konto.

Vad inkluderar signeringskvoten?

Signeringskvoten omfattar alla signeringsaktiviteter i alla certifikatprofiler inom ett konto för betrodd signering.

Avregistrera från tjänsten betrodd signering

Hur gör jag för att avregistrera från betrodd signering?

Om du vill avregistrera från betrodd signering tar du bort ditt betrodda signeringskonto. Om du tar bort kontot tas även de associerade identitetsverifierings- och certifikatprofilerna bort. Detta stoppar certifikatförnyelsen och stoppar i praktiken signeringsprocessen som är associerad med de specifika certifikatprofilerna. Att ta bort kontot påverkar dock inte de certifikat som redan användes för att signera dina filer.

Få svar på vanliga frågor om tjänsten betrodd signering.

Tjänsten Betrodd signering stöder alla versioner av Windows som stöder den allmänna säkerhetsprincipen för kodintegritet i användarläge (UMCI).

Stöd för signerade binärfiler lades till i uppdateringen av listan över betrodda certifikat i juli 2021 (CTL) för Windows. I ett typiskt scenario, när ett slutentitetscertifikat från en kedja påträffas på en dator, hämtar systemet certifikatet för rotcertifikatutfärdare (CA) och lägger till det i rotarkivet för förtroende.

Mer information om Windows-stöd för betrodd signering finns i Windows-stöd för betrodda signeringsprogram.

Be din Microsoft Entra-administratör att godkänna din begäran om åtkomst. Mer information om behörigheter finns i följande artiklar:

• Översikt över medgivande och behörigheter
• Konfigurera arbetsflödet för administratörsmedgivande
• Granska behörigheter som beviljats program

Om du vill registrera appen Microsoft.CodeSigning går du till fönstret Resursproviders för prenumeration enligt följande exempel:

• Prisinformation finns i Priser för betrodd signering.

• Du kan skapa en supportbegäran i Azure Portal för att få Azure Support. Du kan också publicera en fråga eller söka efter relaterade frågor i Microsoft Q&A (använd taggen Azure Trusted Signing) eller Stack Overflow (använd taggen trusted-signing).

• För MSIX-paket för Windows-appen följer du riktlinjerna i MSIX-beständiga identiteter.

• Nej, du kan inte använda ett anpassat gemensamt namn (CN) eller en anpassad organisation (O) med betrodd signering. Den betrodda signeringstjänsten stöder för närvarande inte anpassning. Tänk också på att enligt certifikatutfärdarens webbläsarforum (CA/Webbläsarforum) i csbr-kraven (Code Signing Baseline Requirements) för offentligt betrodda kodsigneringscertifikat måste CN-värden alltid vara den juridiska personens verifierade namn (till exempel Microsoft Corporation).

• Om knappen Ny identitetsverifiering i Azure-portalen är inaktiv och du inte kan välja den, har du inte tilldelats rollen Verifierare för betrodd signeringsidentitet till ditt konto. Om du vill tilldela dig själv rollen slutför du stegen i Tilldela roller i Betrodd signering.

• Om du inte förnyar identitetsverifieringen före förfallodatumet stoppas certifikatförnyelsen. Alla signeringsprocesser som är associerade med dessa specifika certifikatprofiler stoppas. Om du vill fortsätta signera med hjälp av tjänsten Betrodd signering skapar du en annan identitetsverifiering och associerar den med relevanta certifikatprofiler. Vi skickar flera påminnelser från och med 60 dagar före förfallodatumet för en identitetsvalidering för att hjälpa dig att påbörja processen med att förnya identitetsverifieringen.

• För närvarande kan inte en organisation som har ett årsgrundat datum på mindre än tre år registreras och identitetsverifieringen misslyckas.
• Det går inte att registrera en organisation som är baserad i USA eller Kanada.
• Om din organisation har ett årsgrundat datum på mer än tre år kontrollerar du att du inte missade en e-postverifieringslänk som skickades till den primära e-postadress som du angav när du skapade din identitetsverifieringsbegäran. Länken upphör att gälla efter sju dagar. Om du har förbisett e-postmeddelandet eller om du inte har valt länken i e-postmeddelandet inom sju dagar skapar du en ny begäran om identitetsverifiering.
• Om identitetsverifieringen misslyckas, men inte på grund av en missad e-postverifiering, kunde Microsofts valideringsteam inte avgöra din begäran baserat på den information som du angav. Även om du anger mer dokumentation när vi begär den kan vi inte registrera dig för betrodd signering om vi inte kan verifiera informationen. I det här scenariot rekommenderar vi att du tar bort ditt betrodda signeringskonto så att du inte debiteras för oanvända resurser.
• I de fall där ytterligare dokument krävdes har du uttömt alla tre försöken. Därför kan vi inte fortsätta med registreringen.

• Om du vill ha frågor om identitetsverifiering i betrodd signering kontaktar du oss via Azure-supporten eller med hjälp av Microsoft Q&A (använd taggen Azure Trusted Signing).
• Obs! Det hjälper inte att skapa ytterligare begäranden om identitetsverifiering för samma entitet som pågår. Begäranden om identitetsverifiering kan inte påskyndas.

• Om du missade att klicka på e-postverifieringen inom 7 dagar måste du starta en ny identitetsverifieringsbegäran. Det går inte att skicka en ny länk igen för samma begäran.

• Skapa en annan begäran om identitetsverifiering. Kontrollera att den e-postadress som används inte är en distributionslista och att e-postadressen kan ta emot länkar från externa e-postadresser.

• För MSIX-paket för Windows-appen följer du riktlinjerna i MSIX-beständiga identiteter.

• Om du tar bort en certifikatprofil återkallas inte tidigare utfärdade certifikat eller ogiltigförklarar deras signaturer. de förblir giltiga.

• Nej. Organisationsenheten är endast tillgänglig för CI-principcertifikat för privat förtroende och privat förtroende.

Du kan signera alla filtyper som SignTool stöder.

FIPS 140-2 Nivå 3 (mHSM).

Information om elam-drivrutinskonfigurationen (Early Launch Antimalware) för att skydda tjänster i användarläge för program mot skadlig kod finns i följande vägledning:

"Från och med 2022 måste alla binärfiler för tjänsten mot skadlig kod i användarläge signeras av Microsofts signeringstjänst för betrodd signering. Det betrodda signeringsutfärdade Authenticode-certifikatet för signering av binärfiler mot skadlig kod uppdateras var 30:e dag för säkerhet. För att förhindra behovet av att uppdatera ELAM-drivrutinen varje gång certifikatet uppdateras rekommenderar vi att leverantörer av skadlig kod inkluderar TBS-hash-certifikatet för betrodd signering i CertHash-delen av ELAM-drivrutinsresursfilens information. Dessutom måste leverantören av skadlig kod inkludera sin unika EKU-identitet för betrodd signering i fältet EKU i resursfilens information. EKU-identiteten börjar med prefixet 1.3.6.1.4.1.311.97.*.

Information om Microsoft ID Verified Code Signing PCA 2021-certifikat finns i Microsoft PKI Services-lagringsplatsen.

• Om en /INTEGRITYCHECK-flagga har angetts verifieras inte användarens signatur vid körning och den körs inte med /INTEGRITYCHECK.
• För att kontrollera om uppdateringen av betrodd signering är installerad rekommenderar vi att du kontrollerar mot en av dina paketerade /INTEGRITYCHECK-länkade DLL:er. Du kan använda en testversion. På så sätt kan du slutföra kontrollen och fastställa tillgängligheten för våra /INTEGRITYCHECK-länkade binärfiler utanför plattformen.

För närvarande utökar vi inte korssignerade certifikat. Du måste signera med hjälp av tjänsten Betrodd signering.

Signering med Partnercenter är kernellägessignering (ingen ändring med introduktionen av betrodd signering). Signera binärfilerna i användarläge med hjälp av Betrodd signering. För dina appar som interagerar med tjänsten Windows-säkerhet Center (WSC) måste du inkludera kodintegritetsbiten (/INTEGRITYCHECK). Utan signaturen Betrodd signering kan du inte registrera dig med WSC och Windows Defender körs parallellt.

Det Authenticode-certifikat som används för signering med profilen ges aldrig till dig. Alla certifikat lagras säkert i tjänsten och är endast tillgängliga vid tidpunkten för signeringen. Det offentliga certifikatet ingår alltid i alla binärfiler som tjänsten signerar.

Kör följande kommando: curl http://timestamp.acs.microsoft.com. Om statuskod 200 returneras är tidsstämpeltjänsten felfri och körs.

Om du får ett internt fel kontrollerar du att det CN-namn som du använde matchar certifikatnamnet. Verifiera paketnamnet och kopiera det fullständiga värdet för ämnet från Azure Portal till manifestfilen under signeringen.

Om signaturen inte visas i egenskapen digital signatur kör du det här kommandot: .\signtool.exe verify /v /debug /pa fileName. Alla filtyper innehåller inte fliken Signatur i Egenskaper.

1. Skapa en användartilldelad hanterad identitet.
2. Lägg till den användartilldelade hanterade identiteten till den virtuella datorn:
   1. Välj VM.
   2. På den vänstra menyn väljer du Identitet och sedan Användartilldelad.
   3. Välj Lägg till för att lägga till den hanterade identiteten.
3. I resursgruppen (eller prenumerationen) som har rollen Signerad certifikatprofil för betrodd signering lägger du till den användartilldelade hanterade identiteten i rollen. Om du vill tilldela rätt roll går du till Åtkomstkontroll (IAM)>Rolltilldelningar.

• Eftersom Google Cloud Platform (GCP) inte har någon Azure-hanterad identitetsresurs som standard konfigurerar du en miljöautentiseringsuppgift. Använd klassen EnvironmentCredential för att konfigurera autentiseringsuppgifterna. Vi rekommenderar att du använder dessa variabler:

  • AZURE_TENANT_ID för Microsoft Entra-klientorganisationens (katalog)-ID.
  • AZURE_CLIENT_ID för klient-ID:t (program) för en appregistrering i klientorganisationen.
  • AZURE_CLIENT_SECRET för en klienthemlighet som genererades för appregistreringen.

• Om du vill skapa ett klient-ID och en hemlighet följer du riktlinjerna i Skapa ett huvudnamn för tjänsten.

• När du har skapat klient-ID:t och hemligheten går du till resursgruppen (eller prenumerationen) som har rollen Signerad certifikatprofil för betrodd signering och lägger till den här appen i rollen.

Om ett certifikat missbrukas eller missbrukas enligt användningsvillkoren för tjänsten inaktiverar betrodd signering kontot eller återkallar ett signeringscertifikat eller båda. I det här scenariot interagerar vi direkt med dig och följer riktlinjerna i CSBR:erna för CA/Browser Forum.

För närvarande kan betrodda signeringsresurser inte migreras mellan prenumerationer, klientorganisationer eller resursgrupper eller resurser. Om du vill göra ändringar i ditt klientorganisations-ID eller prenumerations-ID måste du skapa alla dina betrodda signeringsresurser igen.

Nej, betrodd signering utfärdar inte certifikat för utökad validering (EV). Vi planerar inte att utfärda EV-certifikat i framtiden.

Loopning flera gånger förväntas i MSIX-signering eftersom varje programfil och manifestfil i paketet är signerad.

Fel	Detaljer
400	Ett Azure-autentiseringsfel. Det här felet beror på cachelagring av certifikat. Lägg till "ExcludeCredentials": ["<include list of credentials to be excluded>"] i JSON-filen. Mer information finns i DefaultAzureCredential Class (Azure.Identity).
401	Du är inte autentiserad. Logga ut och logga sedan in igen.
404	Kontrollera att inga ändringar har gjorts i dina konfigurations- eller brandväggsregler.
"MsalUiRequiredException"	Det här felet uppstår vanligtvis på grund av den lokala cachen. Felet löser sig när cachen har uppdaterats från Azure.
Inga certifikat hittades som uppfyllde alla angivna kriterier.	Kontrollera dlib-sökvägen, dlib-versionen, dlib-namnet, filnamnet och SignTool-versionen. Det här felet anger att SignTool försöker hämta certifikat från den lokala datorn i stället för att använda betrodda signeringscertifikat.
Fel: "SignerSign() misslyckades." (-2147024846/0x80070032)	Kontrollera att du använder den senaste versionen av SignTool.
Felkod (-2147024885/0x8007000b)	För MSIX-signering anger det här felet att utgivaren i manifestfilen inte matchar certifikatämnet. Kontrollera utgivaren som visas i manifestfilen.
Felkod (-2147467259/0x80004005)	Om du använder tjänstens huvudnamn + certifikatbaserad autentisering kontrollerar du miljövariablerna i tabellen för "Tjänstens huvudnamn med certifikat".
Inga felkoder, SignTool misslyckas tyst	Kontrollera att relevant .NET-körningsversion är installerad.
Azure.Identity.CredentialUnavailableException	Du kan se det här felet i miljöer utanför Azure. Om du arbetar utanför Azure rekommenderar vi att du lägger till "exkludera ManagedIdentity" i manifestfilen.
403	– Kontrollera din roll för betrodd signering. – Kontrollera namnet på det betrodda signeringskontot och certifikatprofilnamnet för betrodd signering i filenmetadata.json . – Kontrollera sökvägen dlib och dlib. – Installera C++ Redistributables från https://docs.microsoft.com/en-us/cpp/windows/latest-supported-vc-redist?view=msvc-170. – Kontrollera din .NET-version, dlib-version och Windows SDK-version. – Kontrollera om rollen Betrodd signering har tilldelats till den identitet som försöker signera filen. – Kontrollera om motsvarande identitetsverifiering har statusen Slutförd. – Kontrollera om du har åtkomst till slutpunkten för betrodd signering från den här virtuella datorn eller datorn. Prova att köra åtgärden på en annan virtuell dator eller dator. Felet kan tyda på ett nätverksproblem. – För Private Trust-scenarier 403: Användarobjekt-ID:t som utför signeringen skiljer sig från användarobjekt-ID:t som anropar Get-azCodeSigningRootCert. Rätt objekt-ID måste ha rollen Signerare för betrodd signeringscertifikatprofil.

Om du vill granska kostnadsinformation går du till prenumerationsöversikten i Azure Portal. På den vänstra menyn väljer du Cost Management. Mer information finns i Cost Management.

Om du vill granska faktureringsinformationen går du till prenumerationsöversikten. Välj Fakturering på den vänstra menyn. Mer information finns i Fakturering.

Prissättningen beräknas inte proportionellt. Fakturan genereras med hela beloppet för den SKU som du valde när du skapade kontot, oavsett när du börjar använda tjänsten när du har skapat ditt konto.

Signeringskvoten omfattar alla signeringsaktiviteter i alla certifikatprofiler inom ett konto för betrodd signering.

Om du vill avregistrera från betrodd signering tar du bort ditt betrodda signeringskonto. Om du tar bort kontot tas även de associerade identitetsverifierings- och certifikatprofilerna bort. Detta stoppar certifikatförnyelsen och stoppar i praktiken signeringsprocessen som är associerad med de specifika certifikatprofilerna. Att ta bort kontot påverkar dock inte de certifikat som redan användes för att signera dina filer.