Karta Vyřízení žádosti definuje účel šablony certifikátu, podporované zprostředkovatele kryptografických služeb (CSP), minimální délku klíče, exportovatelnost, nastavení automatického zápisu a určuje, zda má být požadována silná ochrana privátním klíčem.
Účel certifikátu
Účel certifikátu definuje zamýšlené primární použití certifikátu. Může být nastaven na jedno ze čtyř nastavení, jak popisuje následující tabulka.
Nastavení | Účel |
---|---|
Šifrování |
Obsahuje kryptografické klíče pro šifrování a dešifrování. |
Podpis |
Obsahuje kryptografické klíče pouze pro podepisování dat. |
Podpis a šifrování |
Pokrývá všechna primární použití kryptografického klíče certifikátu, včetně šifrování dat, dešifrování dat, počátečního přihlášení nebo digitálního podepisování dat. |
Podpis a přihlašování pomocí čipové karty |
Umožňuje počáteční přihlášení pomocí čipové karty a digitální podepisování dat, nelze použít pro šifrování dat. |
Poznámka | |
Archivace klíčů je možná, jen když je účel certifikátu nastaven na možnost Šifrování nebo Podpis a šifrování. |
Nastavení archivu
Certifikační autority (CA) mohou při vystavování certifikátů archivovat klíče subjektu. Ztratí-li subjekt své klíče, mohou být tyto informace načteny z databáze a bezpečně poskytnuty subjektům.
Nastavení archivace klíčů v následující tabulce je definováno na kartě Vyřízení žádosti.
Nastavení | Účel |
---|---|
Archivace privátního šifrovacího klíče subjektu |
Je-li vystavující CA nakonfigurována pro archivaci klíčů, privátní klíč subjektu bude archivován. |
Umožnění exportu privátního klíče |
Privátní klíč subjektu lze exportovat do souboru za účelem zálohování nebo přenosu do jiného počítače. |
Odstranění odvolaných certifikátů nebo certifikátů, jejichž platnost vypršela (nearchivovat) |
Je-li certifikát obnovován v důsledku vypršení platnosti nebo odvolání, dříve vystavený certifikát je odebrán z úložiště certifikátů subjektu. Ve výchozím nastavení není tato možnost povolena a daný certifikát je archivován. |
Zahrnutí symetrických algoritmů povolených subjektem. |
Když subjekt žádá o certifikát, může dodat seznam podporovaných symetrických algoritmů. Tato možnost umožňuje vystavující CA zahrnout tyto algoritmy do certifikátu, i když nejsou tímto serverem rozpoznány nebo podporovány. |
Nastavení vstupu uživatele
Karta Vyřízení žádosti také umožňuje definovat pro šablonu certifikátu několik nastavení vstupu uživatele popsaných v této tabulce.
Nastavení | Účel |
---|---|
Zapsat subjekt bez vyžadování vstupu uživatele |
Tato možnost umožňuje automatický zápis bez jakékoliv interakce s uživatelem a je výchozím nastavením pro počítač i certifikáty uživatele. |
Dotázat se uživatele během zápisu |
Pokud uživatel tuto možnost nepovolí, nemusí pro instalaci certifikátu založeného na šabloně nic zadávat. |
Dotázat se uživatele během zápisu a vyžadovat vstup uživatele při použití privátního klíče |
Tato možnost umožňuje uživateli nastavit silné heslo pro ochranu privátním klíčem při jeho generování a požaduje na uživateli jeho použití při každém použití certifikátu a privátního klíče. |
Ostatní nastavení pro vyřízení žádosti verze 3
Karta Vyřízení žádosti pro šablony certifikátů verze 3 byla aktualizována tak, aby podporovala nové možnosti dostupné na kartě Kryptografie spolu s jinými změnami. Možnosti jsou uvedeny v následující tabulce.
Nastavení | Účel | ||||
---|---|---|---|---|---|
Použití pokročilých symetrických algoritmů k odeslání klíče certifikační autoritě |
Tato možnost správci umožňuje vybrat algoritmus AES (Advanced Encryption Standard) pro šifrování privátních klíčů při jejich přenosu k certifikační autoritě za účelem archivace klíče. Je-li zvolena tato možnost, klient použije symetrické šifrování AES-256 (spolu s výměnným certifikátem CA pro asymetrické šifrování) za účelem odeslání privátního klíče certifikační autoritě k archivaci. Pokud tato možnost není zvolena, používá se symetrický algoritmus 3DES. Protože archivace klíčů je určena pro šifrovací klíče (nikoliv podpisové klíče), je tato možnost povolena, jen když je účel certifikátu nastaven na Šifrování. | ||||
Autorizovat další účty služeb pro přístup k privátnímu klíči |
Tato možnost povoluje definování vlastního seznamu řízení přístupu (ACL) u privátních klíčů certifikátů počítačů založených na libovolné šabloně certifikátu počítače verze 3 s výjimkou šablon kořenové certifikační autority, podřízené certifikační autority nebo křížové certifikační autority. Vlastní seznam ACL je nezbytný pouze v případě, že účet služby vyžadující přístup k privátnímu klíči není zahrnut do výchozích oprávnění. Výchozí oprávnění použitá pro privátní klíč klientem zápisu certifikátu a zprostředkovatelem úložiště softwarových klíčů společnosti Microsoft zahrnují oprávnění k úplnému řízení pro skupinu Administrators a místní systémový účet. Zprostředkovatelé nepocházející od společnosti Microsoft mohou používat jiná výchozí oprávnění a nemusí podporovat vlastní seznamy ACL, jež jsou definovány pomocí této možnosti. Další informace naleznete v dokumentaci k zprostředkovateli.
|
Další informace o možnostech souvisejících s šablonami certifikátů verze 3 naleznete v části Kryptografie.
Ostatní nastavení vyřízení žádosti verze 2
Mimo nastavení archivace klíčů lze definovat všeobecné možnosti ovlivňující všechny certifikáty založené na šablonách certifikátů verze 2. Možnosti jsou uvedeny v následující tabulce.
Nastavení | Účel |
---|---|
Minimální délka klíče. |
Určuje minimální délku v bitech pro klíč, který bude generován pro tento certifikát. |
Zprostředkovatelé kryptografických služeb |
Seznam zprostředkovatelů kryptografických služeb (CPS), který bude použit k zápisu certifikátů pro danou šablonu. Výběrem jednoho nebo několika CPS se certifikát nakonfiguruje tak, že pracuje jen s těmito CPS. Zprostředkovatel CPS, který má být použit během zápisu, musí být nainstalován na počítači klienta. Jestliže je vybrán určitý CPS, který není dostupný na počítači klienta, zápis se nezdaří. |