共用方式為

信任的簽署憑證管理

  • 發行項

本文說明受信任的簽署憑證,包括其兩個唯一屬性:服務的零接觸生命週期管理程序、時間戳計數器的重要性,以及 Microsoft 主動威脅監視和撤銷動作。

信任簽署服務中使用的憑證遵循 X.509 程式代碼簽署憑證的標準做法。 為了支持狀況良好的生態系統,服務包含 X.509 憑證的完全受控體驗,以及用於簽署的非對稱密鑰。 完全受控的受信任簽署體驗提供信任簽署憑證配置檔資源中所有憑證的所有憑證生命周期動作。

憑證屬性

信任簽署會使用憑證配置檔資源類型來建立和管理信任簽署客戶用來簽署的 X.509 v3 憑證。 這些憑證符合 RFC 5280 標準和 Microsoft PKI 服務憑證原則 (CP) 和 Microsoft PKI 服務存放庫中的認證實務聲明 (CPS) 資源

除了標準功能之外,信任簽署中的憑證配置檔還包含下列兩個獨特的功能,以協助降低與誤用或濫用憑證簽署相關的風險和影響:

  • 短期憑證
  • 訂閱者身分識別驗證延伸密鑰使用方式 (EKU) 用於永久性身分識別釘選

短期憑證

為了協助減少簽署誤用和濫用的影響,信任的簽署憑證會每天更新,且有效期只有 72 小時。 在這些短期憑證中,撤銷行動可以像一天一樣嚴重或廣泛,以涵蓋任何濫用和濫用事件。

例如,如果判斷訂閱者簽署的程式代碼是惡意代碼或潛在垃圾應用程式(PUA),如 Microsoft 如何識別惡意代碼和潛在的垃圾應用程式所定義,可以隔離撤銷動作,只撤銷簽署惡意代碼或 PUA 的憑證。 撤銷只會影響在發行當天使用該憑證所簽署的程序代碼。 撤銷不適用於當天或當天之後簽署的任何程序代碼。

訂閱者身分識別驗證 EKU

X.509 端實體簽署憑證通常會定期更新,以確保密鑰衛生。 由於信任簽署的每日憑證更新、將信任或驗證釘選到使用憑證屬性(例如公鑰)或憑證指紋(憑證哈希)的終端實體憑證,並不持久。 此外,主體辨別名稱 (subject DN) 值可以在身分識別或組織的存留期內變更。

為了解決這些問題,信任簽署會在與訂用帳戶身分識別驗證資源相關聯的每個憑證中提供永久性身分識別值。 永久性識別值是具有前置詞 1.3.6.1.4.1.311.97. 的自定義 EKU,後面接著更多八位值,這些值對憑證配置檔上所使用的身分識別驗證資源而言是唯一的。 以下列出一些範例:

  • 公用信任身分識別驗證範例

    的值 1.3.6.1.4.1.311.97.990309390.766961637.194916062.941502583 表示使用公用信任身分識別驗證的信任簽署訂閱者。 前置 1.3.6.1.4.1.311.97. 詞是受信任的簽署公用信任程式代碼簽署類型。 此值 990309390.766961637.194916062.941502583 對於公用信任的訂閱者身分識別驗證而言是唯一的。

  • 私人信任身分識別驗證範例

    的值 1.3.6.1.4.1.311.97.1.3.1.29433.35007.34545.16815.37291.11644.53265.56135 表示使用私人信任身分識別驗證的受信任簽署訂閱者。 前置 1.3.6.1.4.1.311.97.1.3.1. 詞是信任簽署私人信任程式代碼簽署類型。 此值 29433.35007.34545.16815.37291.11644.53265.56135 對訂閱者的私人信任身分識別驗證而言是唯一的。

    由於您可以使用 Windows Defender 應用程控 (WDAC) 程式代碼完整性 (CI) 原則簽署的私人信任身分識別驗證,因此它們有不同的 EKU 前置詞: 1.3.6.1.4.1.311.97.1.4.1.。 但後綴值符合訂閱者身分識別驗證 Private Trust 的持久識別值。

注意

您可以在 WDAC CI 原則設定中使用永久性身分識別 EKU,將信任釘選到信任簽署中的身分識別。 如需建立 WDAC 原則的相關信息,請參閱 使用已簽署的原則來保護 Windows Defender 應用程控不受竄改Windows Defender 應用程控精靈

所有受信任的簽署公開信任憑證也都包含 1.3.6.1.4.1.311.97.1.0 EKU,以便從信任簽署輕鬆識別為公開信任的憑證。 除了程式代碼簽署 EKU (1.3.6.1.5.5.7.3.3) 之外,還提供所有 EKU,以識別憑證取用者的特定使用類型。 唯一的例外狀況是信任簽署私人信任 CI 原則憑證配置檔類型的憑證,其中沒有任何程式代碼簽署 EKU。

零觸控憑證生命週期管理

信任的簽署旨在盡可能簡化每個訂閱者的簽署。 簡化簽署的主要部分是提供完全自動化的憑證生命週期管理解決方案。 信任簽署零接觸憑證生命週期管理功能會自動為您處理所有標準憑證動作。

包括:

  • 在服務管理的 FIPS 140-2 層級 3 硬體加密模組中,保護密鑰產生、記憶體和使用方式。
  • 憑證的每日更新,以確保您一律有有效的憑證可用來簽署憑證配置文件資源。

您所建立和發行的每個憑證都會記錄 Azure 入口網站。 您可以在入口網站中檢視記錄數據摘要,其中包含憑證序號、指紋、建立日期、到期日和狀態(例如 ActiveExpiredRevoked)。

注意

信任的簽署不支援匯入或匯出私鑰和憑證。 您在信任簽署中使用的所有憑證和金鑰都是在 FIPS 140-2 層級 3 運作的硬體加密模組內管理。

時間戳計數器

簽署的標準做法是使用符合 RFC 3161 規範的時間戳來反駁所有簽章。 由於信任簽署使用短期憑證,因此時間戳反簽署對於簽章在簽署憑證存留期以外有效至關重要。 時間戳計數器會提供時間戳授權單位 (TSA) 的密碼編譯安全時間戳令牌,以符合程式代碼簽署基準需求(CSR) 標準。

反簽署提供一個可靠的簽署日期和時間。 如果時間戳計數器位於簽署憑證的有效期間和 TSA 憑證的有效期間內,則簽章有效。 簽署憑證和 TSA 憑證到期後,有效時間很長(除非已撤銷)。

信任的簽署會在 提供一般可用的 TSA 端點 http://timestamp.acs.microsoft.com。 我們建議所有信任的簽署訂閱者都使用此 TSA 端點來對抗其產生的任何簽章。

主動監視

信任簽署熱情地支持狀況良好的生態系統,方法是使用主動威脅情報監視,持續尋找濫用和濫用受信任簽署訂閱者公開信任憑證的情況。

  • 針對已確認的濫用或濫用案例,信任簽署會立即採取必要步驟來緩和和補救任何威脅,包括針對性或廣泛的證書撤銷和帳戶暫停。

  • 您可以直接在 Azure 入口網站 中完成任何記錄在您擁有之憑證配置檔下之憑證的撤銷動作。

後續步驟

設定信任的簽署