La sélection d’options de chiffrement pour une autorité de certification peut avoir une incidence significative sur la sécurité, les performances et la compatibilité de l’autorité de certification. Bien que les options de chiffrement par défaut puissent convenir à la plupart des autorités de certification, la possibilité d’implémenter des options personnalisées peut être utile pour les administrateurs et les développeurs d’application ayant une connaissance plus approfondie du chiffrement et un réel besoin de cette flexibilité. Les options de chiffrement peuvent être implémentées en utilisant des fournisseurs de services de chiffrement (CSP, Cryptographic Service Providers) ou des fournisseurs de stockage de clés.
Les fournisseurs CSP sont des composants matériels et logiciels des systèmes d’exploitation Windows qui fournissent des fonctions génériques de chiffrement. Les fournisseurs CSP peuvent être conçus pour fournir un grand nombre d’algorithmes de chiffrement et de signature.
Les fournisseurs de stockage de clés peuvent fournir une protection de clé renforcée sur des ordinateurs qui exécutent Windows Server 2008 R2, Windows Server 2008, Windows 7 ou Windows Vista.
Dans la page Configurer le chiffrement du processus de configuration de l’autorité de configuration, vous pouvez configurer les options suivantes :
-
Sélectionnez un fournisseur de services de chiffrement. Windows Server 2008 R2 et Windows Server 2008 comprennent un certain nombre de fournisseurs de services de chiffrement ; par ailleurs, des fournisseurs de services de chiffrement ou des fournisseurs de stockage de clés supplémentaires peuvent être ajoutés. Dans Windows Server 2008 R2 et Windows Server 2008, la liste de fournisseurs inclut le nom de l’algorithme. Tous les fournisseurs avec un symbole dièse (#) dans leur nom sont des fournisseurs CNG (Cryptography Next Generation). Les fournisseurs CNG peuvent prendre en charge plusieurs algorithmes asymétriques. Les fournisseurs CSP peuvent implémenter un seul algorithme.
Remarques Pour plus d’informations, voir Cryptography Next Generation (
https://go.microsoft.com/fwlink/?LinkID=85480 ) (éventuellement en anglais). -
Longueur de la clé en caractères. Chaque fournisseur CSP prend en charge différentes longueurs de caractères pour les clés de chiffrement. La configuration d’une longueur de clé supérieure peut améliorer la sécurité en la rendant plus difficile à déchiffrer pour un utilisateur malveillant, mais cela peut aussi ralentir les performances des opérations de chiffrement.
-
Sélectionnez l’algorithme de hachage pour la signature des certificats émis par cette Autorité de certification. Des algorithmes de hachage sont utilisés pour signer les certificats d’autorité de certification et les certificats émis par une autorité de certification afin de garantir qu’ils n’ont pas été falsifiés. Chaque fournisseur CSP peut prendre en charge plusieurs algorithmes de hachage.
Remarques La liste des algorithmes de hachage peut être restreinte davantage si l’option DiscreteAlgorithm a été configurée dans un fichier CAPolicy.inf installé sur l’ordinateur avant la configuration de l’autorité de certification.
-
Utiliser les fonctionnalités de protection renforcée par clé privée fournies par le fournisseur de services de chiffrement (cela peut nécessiter une interaction avec un administrateur à chaque accès de la clé privée par l’Autorité de certification). Cette option peut être utilisée pour empêcher l’utilisation non approuvée d’une autorité de certification et de sa clé privée en exigeant que l’administrateur saisisse un mot de passe avant chaque opération de chiffrement.