La selezione di opzioni di crittografia per un'Autorità di certificazione (CA) può avere implicazioni significative di sicurezza, prestazioni e compatibilità per tale CA. Sebbene le opzioni di crittografia predefinite siano adeguate alla maggior parte delle CA, la possibilità di implementare opzioni personalizzate può rivelarsi utile agli amministratori e agli sviluppatori di applicazioni con conoscenze più approfondite della crittografia e che necessitano di tale flessibilità. Le opzioni di crittografia possono essere implementate tramite provider del servizio di crittografia (CSP) o provider di archiviazione chiavi.

I CSP sono componenti hardware e software dei sistemi operativi Windows, con funzioni di crittografia generiche. È possibile sviluppare CSP che forniscono vari algoritmi di crittografia e firma.

I provider di archiviazione chiavi possono aggiungere funzioni di protezione chiavi avanzata ai computer che eseguono Windows Server 2008 R2, Windows Server 2008, Windows 7 o Windows Vista.

Nella pagina Configurazione crittografia del processo di installazione della CA è possibile configurare le opzioni seguenti:

  • Selezionare un provider del servizio di crittografia (CSP). Windows Server 2008 R2 e Windows Server 2008 includono diversi CSP ed è possibile aggiungere altri CSP o provider di archiviazione chiavi. In Windows Server 2008 R2 e Windows Server 2008 l'elenco dei provider comprende il nome dell'algoritmo. Tutti i provider con il cancelletto (#) nel nome sono fornitori CNG (Cryptography Next Generation). I provider CNG sono in grado di supportare più algoritmi asimmetrici. I CSP possono implementare un solo algoritmo.

    Nota

    Per ulteriori informazioni, vedere la pagina relativa a Cryptography Next Generation all'indirizzo https://go.microsoft.com/fwlink/?LinkID=85480.

  • Lunghezza chiave in caratteri. Ogni CSP supporta diverse lunghezze delle chiavi di crittografia. La configurazione di una chiave più lunga può migliorare la protezione rendendo più difficile per un utente malintenzionato decrittografare la chiave, ma può anche rallentare le operazioni di crittografia.

  • Selezionare l'algoritmo hash per firmare i certificati rilasciati da questa CA. Gli algoritmi hash sono utilizzati per firmare i certificati delle CA e i certificati rilasciati dalle CA per garantire che non siano stati alterati. Ogni CSP può supportare diversi algoritmi hash.

    Nota

    L'elenco degli algoritmi hash disponibili può essere ulteriormente limitato se è stata configurata l'opzione DiscreteAlgorithm in un file CAPolicy.inf installato sul computer prima dell'installazione della CA.

  • Usa le funzionalità di protezione chiave privata avanzata fornite dal CSP. Potrebbe essere necessario l'intervento dell'amministratore ogni volta che la CA accede alla chiave privata.. Questa opzione può essere utilizzata per aiutare a prevenire l'utilizzo non approvato della CA e della relativa chiave privata, mediante la richiesta all'amministratore di inserire una password prima di ogni operazione di crittografia.


Argomenti della Guida