証明機関 (CA) の暗号化オプションを選択すると、セキュリティ、パフォーマンス、および互換性に関する重要な機能をその CA に設定できます。既定の暗号化オプションはほとんどの CA に適していますが、暗号化に対する高度な知識を持ち、柔軟な機能を必要とする管理者とアプリケーション開発者には、カスタム オプションを実装する機能が役立ちます。暗号化オプションは、暗号化サービス プロバイダー (CSP) またはキー記憶域プロバイダーを使用して実装できます。
CSP は、一般的な暗号化機能を提供する、Windows オペレーティング システムのハードウェアおよびソフトウェアのコンポーネントです。CSP は、さまざまな暗号化アルゴリズムおよび署名アルゴリズムを提供するように記述できます。
キー記憶域プロバイダーは、Windows Server 2008 R2、Windows Server 2008、Windows 7、または Windows Vista を実行しているコンピューターに強力なキー保護を提供できます。
CA セットアップ処理の暗号化の構成ページでは、次のオプションを構成できます。
-
[暗号化サービス プロバイダー (CSP) を選択]。Windows Server 2008 R2 と Windows Server 2008 には、多数の CSP が含まれていますが、別の CSP やキー記憶域プロバイダーを追加できます。Windows Server 2008 R2 と Windows Server 2008 では、プロバイダーの一覧にアルゴリズムの名前が表示されます。名前に番号記号 (#) のあるプロバイダーはすべて Cryptography Next Generation (CNG) プロバイダーです。CNG プロバイダーは、複数の非対称アルゴリズムをサポートできます。CSP は 1 つのアルゴリズムだけを実装できます。
注 詳細については、Cryptography Next Generation に関するページ (英語の可能性あり) (
https://go.microsoft.com/fwlink/?LinkID=85480 ) を参照してください。 -
[キーの長さ]。各 CSP がさまざまな長さの暗号化キーをサポートします。長いキーを構成して悪意を持ったユーザーによるキーの解読を困難にするとセキュリティを強化できますが、暗号化操作のパフォーマンスが低下する可能性もあります。
-
[この CA から発行された証明書の署名に使用するハッシュ アルゴリズムを選択]。ハッシュ アルゴリズムは、CA 証明書および CA が発行した証明書に署名し、その証明書が改ざんされていないことを確認するために使用されます。各 CSP が異なるハッシュ アルゴリズムをサポートできます。
注 CA のセットアップを開始する前に、コンピューターにインストールされている CAPolicy.inf ファイルの DiscreteAlgorithm オプションを構成すると、利用可能なハッシュ アルゴリズムの一覧をさらに制限できます。
-
[CSP から提供された強力な秘密キー保護機能を使用する (CA が秘密キーにアクセスするたびに管理者による操作が必要な場合があります)]。このオプションを使用すると、管理者が暗号化操作を行う前に常にパスワードの入力を要求することができ、CA およびその秘密キーを未承認で使用されることを防ぐのに役立ちます。