Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Podpisywanie artefaktów to zasób natywny dla platformy Azure, który oferuje pełną obsługę typowych pojęć Azure, takich jak zasoby. Podobnie jak w przypadku dowolnego innego zasobu platformy Azure, podpisywanie artefaktów ma własny zestaw zasobów i ról, które zostały zaprojektowane w celu uproszczenia zarządzania usługą.
W tym artykule przedstawiono zasoby i role specyficzne dla podpisywania artefaktów.
Typy zasobów do podpisywania artefaktów
Podpisywanie artefaktów ma następujące typy zasobów:
Konto podpisywania artefaktów: konto jest logicznym kontenerem wszystkich zasobów potrzebnych do ukończenia podpisywania i zarządzania mechanizmami kontroli dostępu do poufnych zasobów.
Walidacje tożsamości: Weryfikacja tożsamości przeprowadza weryfikację organizacji lub tożsamości indywidualnej, zanim będzie można podpisać kod. Zweryfikowana organizacja lub indywidualna tożsamość jest źródłem atrybutów dla wartości Nazwa wyróżniająca podmiotu (DN podmiotu) profilu certyfikatu (na przykład
CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US). Rola weryfikacji tożsamości jest przypisywana do tożsamości dzierżawcy w celu utworzenia tych zasobów.Profile certyfikatów: profil certyfikatu to atrybuty konfiguracji, które generują certyfikaty używane do podpisywania kodu. Definiuje również model zaufania i scenariusz, w którym podpisana zawartość jest wykorzystywana przez strony polegające. Role do podpisywania są przypisywane do tego zasobu w celu autoryzowania tożsamości najemcy do żądania podpisu. Warunkiem wstępnym utworzenia dowolnego profilu certyfikatu jest ukończenie co najmniej jednego żądania weryfikacji tożsamości.
W poniższej przykładowej strukturze subskrypcja platformy Azure ma grupę zasobów. W grupie zasobów można mieć jeden lub więcej zasobów konta podpisywania artefaktów z jedną lub wieloma weryfikacjami tożsamości i profilami certyfikatów.
Usługa obsługuje zasady public trust, private trust, code integrity (CI), enklawy zabezpieczeń opartych na wirtualizacji (VBS) i typy podpisywania testów zaufania publicznego, dzięki czemu warto mieć wiele kont podpisywania artefaktów i profilów certyfikatów. Aby uzyskać więcej informacji na temat typów profilów certyfikatów i sposobu ich użycia, zobacz Artykuł Artifact Signing certificate types and management (Typy certyfikatów podpisywania artefaktów i zarządzanie nimi).
Uwaga / Notatka
Walidacje tożsamości i profile certyfikatów są zgodne z zaufaniem publicznym lub prywatnym. Walidacja tożsamości w ramach zaufania publicznego jest używana tylko dla profili certyfikatów wykorzystywanych w modelu zaufania publicznego. Aby uzyskać więcej informacji, zobacz Modele zaufania podpisywania artefaktów.
Konto do podpisywania artefaktów
Konto sygnowania artefaktów to logiczny kontener zasobów używanych do sygnowania certyfikatów. Konta do podpisywania artefaktów mogą być używane do definiowania granic projektu lub organizacji. W większości przypadków pojedyncze konto podpisywania artefaktów może spełniać wszystkie potrzeby podpisywania dla pojedynczej osoby lub organizacji. Można podpisać wiele artefaktów, które są dystrybuowane przez tę samą tożsamość (na przykład Contoso News, LLC), ale operacyjnie mogą istnieć granice, które chcesz ustalić pod względem dostępności do podpisywania. Możesz wybrać konto do podpisywania artefaktów dla każdego produktu lub zespołu, aby określić sposób użycia konta lub monitorować proces podpisywania. Można jednak również osiągnąć ten wzorzec izolacji na poziomie profilu certyfikatu.
Walidacje tożsamości
Walidacje tożsamości dotyczą ustanawiania tożsamości na certyfikatach używanych do podpisywania. Istnieją dwa typy: zaufanie publiczne i zaufanie prywatne. To, co definiuje dwa typy, to poziom weryfikacji tożsamości wymagany do ukończenia tworzenia zasobu weryfikacji tożsamości.
Zaufanie publiczne oznacza, że wszystkie wartości tożsamości muszą być weryfikowane zgodnie z oświadczeniem dotyczącym praktyk certyfikacji innych firm (CPS) usług PKI Firmy Microsoft. To wymaganie jest zgodne z oczekiwaniami dotyczącymi publicznie zaufanych certyfikatów podpisywania artefaktów.
Usługa Private Trust jest przeznaczona dla sytuacji, w których istnieje ustanowione zaufanie do tożsamości prywatnej w jednej lub wielu jednostkach uzależnionych (konsumentów podpisów) lub wewnętrznie w scenariuszach kontroli aplikacji lub biznesowych (LOB). W przypadku walidacji tożsamości Prywatnego Zaufania przeprowadzana jest minimalna weryfikacja atrybutów tożsamości (na przykład wartość
Organization Unit). Weryfikacja jest ściśle powiązana z tenantem platformy Azure subskrybenta (na przykładContoso.onmicrosoft.com). Wartości w profilach certyfikatów zaufania prywatnego nie są weryfikowane poza informacjami o dzierżawie platformy Azure.
Aby uzyskać więcej informacji na temat zaufania publicznego i prywatnego, zobacz Modele zaufania w podpisywaniu artefaktów.
Profile certyfikatów
Podpisywanie artefaktów udostępnia pięć typów profilów certyfikatu, których wszyscy subskrybenci mogą używać z dopasowanymi i ukończonymi zasobami weryfikacji tożsamości. Tych pięć profili certyfikatów jest dopasowanych do potwierdzenia tożsamości zaufania publicznego lub prywatnego w następujący sposób:
-
Zaufanie społeczne
Zaufanie publiczne: służy do podpisywania kodu i artefaktów, które mogą być publicznie dystrybuowane. Ten profil certyfikatu jest domyślnie zaufany na platformie Windows na potrzeby podpisywania kodu.
Enklawa VBS: służy do podpisywania enklaw zabezpieczeń opartych na wirtualizacji w systemie Windows.
Test zaufania publicznego: służy wyłącznie do podpisywania testowego i nie są domyślnie publicznie zaufane. Rozważ profile certyfikatów testu Zaufania Publicznego jako doskonałą opcję do podpisywania kompilacji w ramach pętli wewnętrznej.
Uwaga / Notatka
Wszystkie certyfikaty w ramach typu profilu certyfikatu testu zaufania publicznego obejmują okres istnienia EKU (
1.3.6.1.4.1.311.10.3.13), który wymusza weryfikację w celu przestrzegania okresu istnienia certyfikatu podpisywania, niezależnie od obecności prawidłowego kontrapisu sygnatury czasowej.
-
Zaufanie prywatne
- Zaufanie prywatne: służy do podpisywania wewnętrznych lub prywatnych komponentów, takich jak aplikacje LOB i kontenery. Można go również użyć do podpisywania plików katalogu w aplikacji App Control for Business.
-
Zasady ciągłej integracji zaufania prywatnego: Profil certyfikatu zasad ciągłej integracji zaufania prywatnego jest jedynym typem, który nie obejmuje podpisywania kodu EKU (
1.3.6.1.5.5.7.3.3). Ten profil certyfikatu jest przeznaczony do podpisywania plików zasad dla App Control for Business.
Obsługiwane role
Kontrola dostępu oparta na rolach (RBAC) to podstawowa koncepcja dla wszystkich zasobów platformy Azure. Podpisywanie artefaktów dodaje dwie role niestandardowe, aby spełnić potrzeby subskrybenta w zakresie weryfikacji tożsamości (rola Weryfikatora Tożsamości Podpisywania Artefaktów) i podpisywania z użyciem profili certyfikatów (rola Podpisywania Certyfikatu Profili Podpisywania Artefaktów). Te role niestandardowe muszą być jawnie przypisane do wykonywania tych dwóch krytycznych funkcji przy użyciu podpisywania artefaktów. Poniższa tabela zawiera pełną listę ról obsługiwanych przez podpisywanie artefaktów oraz ich możliwości, w tym wszystkie standardowe role platformy Azure.
| Role | Zarządzanie kontem i wyświetlanie go | Zarządzanie profilami certyfikatów | Podpisywanie przy użyciu profilu certyfikatu | Wyświetlanie historii podpisywania | Zarządzaj przydziałem ról | Zarządzanie weryfikacją tożsamości |
|---|---|---|---|---|---|---|
| Weryfikator tożsamości dla podpisywania artefaktów1 | X | |||||
| Podpisujący Profil Certyfikatu Podpisywania Artefaktu2 | X | X | ||||
| Właściciel | X | X | X | |||
| Contributor | X | X | ||||
| Czytelnik | X | |||||
| Administrator dostępu użytkownika | X |
1 Wymagane do utworzenia weryfikacji tożsamości lub zarządzania nią. Dostępne tylko w witrynie Azure Portal.
2 Wymagane do pomyślnego podpisania przy użyciu podpisywania artefaktów.
Treści powiązane
- Ukończ przewodnik szybkiego startu, aby skonfigurować podpisywanie artefaktów.
- Dowiedz się więcej o modelach zaufania związanych z podpisywaniem artefaktów.
- Zapoznaj się z koncepcją certyfikatów podpisywania i zarządzania artefaktami.