Op het tabblad Afhandeling van aanvragen wordt de volgende informatie gedefinieerd: het doel van een certificaatsjabloon; de ondersteunde CSP's (cryptographic service providers); minimumsleutellengte; exporteerbaarheid; instellingen voor automatische inschrijving; en of sterke bescherming van persoonlijke sleutels moet worden vereist.
Doel van certificaat
Het doel van het certificaat geeft het beoogde primaire doel van het certificaat aan en kan een van vier instellingen zijn, zoals in de volgende tabel wordt beschreven.
Instelling | Doeleinde |
---|---|
Versleuteling |
Bevat cryptografische sleutels voor versleuteling en ontsleuteling. |
Handtekening |
Bevat cryptografische sleutels die alleen zijn bedoeld voor het ondertekenen van gegevens. |
Handtekening en versleuteling |
Hiermee worden alle primaire doeleinden van de cryptografische sleutel van een certificaat beschreven, waaronder versleuteling en ontsleuteling van gegevens, eerste aanmelding of het digitaal ondertekenen van gegevens. |
Aanmelding met handtekening en smartcard |
Met deze optie wordt een eerste aanmelding met een smartcard mogelijk gemaakt en kunnen gegevens digitaal worden ondertekend. Deze optie kan niet worden gebruikt voor gegevensversleuteling. |
Opmerking | |
Sleutelarchivering is alleen mogelijk als het certificaatdoel is ingesteld op Versleuteling of Handtekening en versleuteling. |
Archiefinstellingen
CA's (certificeringsinstanties) van kunnen de sleutels van een certificaathouder in hun database archiveren wanneer certificaten worden uitgegeven. Als een certificaathouder zijn of haar sleutels verliest, kunnen de gegevens uit de database worden opgehaald en op veilige wijze aan de certificaathouder worden verstrekt.
De instellingen voor sleutelarchivering in de volgende tabel worden gedefinieerd op het tabblad Afhandeling van aanvragen.
Instelling | Doeleinde |
---|---|
Persoonlijke versleutelingssleutel van de houder archiveren |
Als de uitgevende CA is geconfigureerd voor sleutelarchivering, wordt de persoonlijke sleutel van de certificaathouder gearchiveerd. |
De persoonlijke sleutel exporteerbaar maken |
De persoonlijke sleutel van de certificaathouder kan naar een bestand worden geëxporteerd voor back-up of voor overdracht naar een andere computer. |
Ingetrokken en verlopen certificaten verwijderen (niet archiveren) |
Als een certificaat wordt vernieuwd omdat het is verlopen of ingetrokken, wordt het voorgaande certificaat verwijderd uit het certificaatarchief van de certificaathouder. Deze optie is standaard niet ingeschakeld en het certificaat wordt gearchiveerd. |
Symmetrische algoritmen die het object toestaat opnemen |
Wanneer de certificaathouder het certificaat aanvraagt, kan de houder een lijst met ondersteunde symmetrische algoritmen opgeven. Dankzij deze optie kan de uitgevende CA deze algoritmen in het certificaat opnemen, zelfs als ze niet door die server worden herkend of ondersteund. |
Instellingen voor gebruikersinvoer
Op het tabblad Afhandeling van aanvragen kunnen ook verschillende instellingen voor gebruikersinvoer voor een certificaatsjabloon worden gedefinieerd. Deze instellingen worden in de volgende tabel beschreven.
Instelling | Doeleinde |
---|---|
Houder zonder gebruikersinvoer inschrijven |
Met deze optie kan er automatisch worden ingeschreven zonder gebruikersinteractie. Dit is de standaardinstelling voor computer- en gebruikerscertificaten. |
De gebruiker om invoer vragen tijdens het inschrijven |
Wanneer u deze optie uitschakelt, is er geen gebruikersinvoer vereist voor de installatie van een certificaat dat op de certificaatsjabloon is gebaseerd. |
De gebruiker om invoer vragen tijdens het inschrijven en wanneer de persoonlijke sleutel wordt gebruikt |
Met deze optie kan de gebruiker tijdens generatie van de persoonlijke sleutel van een gebruiker een sterk wachtwoord instellen ter bescherming, en moet de gebruiker het wachtwoord gebruiken wanneer het certificaat en de persoonlijke sleutel worden gebruikt. |
Andere instellingen voor het verwerken van aanvragen van versie 3
Het tabblad Afhandeling van aanvragen voor certificaatsjabloonversie 3 is bijgewerkt met ondersteuning voor de nieuwe opties die beschikbaar zijn op het tabblad Cryptografie, evenals met andere wijzigingen. De opties worden in de volgende tabel weergegeven.
Instelling | Doeleinde | ||||
---|---|---|---|---|---|
Geavanceerde symmetrische algoritme gebruiken om de sleutel naar de CA te verzenden |
Met deze optie kan de beheerder de AES-algoritme (Advanced Encryption Standard) kiezen om persoonlijke sleutels bij overdracht naar de CA voor sleutelarchivering te versleutelen. Als deze optie is geselecteerd, gebruikt de client symmetrische AES-256-versleuteling (evenals het uitwisselingscertificaat van de CA voor asymmetrische versleuteling) om de persoonlijke sleutel naar de CA te sturen voor archivering. Als deze optie niet is ingesteld, wordt de symmetrische 3DES-algoritme gebruikt. Aangezien sleutelarchivering is bedoeld voor versleuteling, en niet ondertekening, van sleutels, wordt deze optie alleen ingeschakeld wanneer het certificaatdoel is ingesteld op Versleuteling. | ||||
Extra serviceaccounts toegang verlenen tot de persoonlijke sleutel |
Met deze optie kan een aangepaste toegangsbeheerlijst (ACL) worden gedefinieerd op de persoonlijke sleutels van computercertificaten die zijn gebaseerd op een computercertificaatsjabloon van versie 3, met uitzondering van sjablonen voor basis-CA's, onderliggende CA's en kruis-CA's. Een aangepaste ACL is alleen nodig wanneer een serviceaccount dat toegang tot de persoonlijke sleutel moet hebben, niet is opgenomen in de standaardmachtigingen. Tot de standaardmachtigingen die op de persoonlijke sleutel worden toegepast door de Microsoft-certificaatinschrijvingsclient en softwaresleutelarchiefprovider behoren de machtiging Volledig beheer voor de groep Administrators en de lokale systeemaccount. Niet-Microsoft-providers kunnen andere standaardmachtigingen toepassen en bieden mogelijk geen ondersteuning voor aangepaste ACL's die zijn gedefinieerd met deze optie. Raadpleeg de documentatie van uw provider voor meer informatie.
|
Zie Cryptografie voor meer informatie over opties voor certificaatsjabloonversie 3.
Andere instellingen voor het verwerken van aanvragen van versie 2
Naast de instellingen voor sleutelarchivering kunt u algemene opties definiëren die van invloed zijn op alle certificaten die zijn gebaseerd op certificaatsjabloonversie 2. De opties worden in de volgende tabel weergegeven.
Instelling | Doeleinde |
---|---|
Minimale sleutelgrootte |
Hiermee wordt de minimumgrootte, in bits, van de sleutel weergegeven die voor dit certificaat wordt gegenereerd. |
Cryptografieproviders |
Dit is een lijst met CSP's (cryptografieserviceproviders) die worden gebruikt om certificaten in te schrijven voor de opgegeven sjabloon. Wanneer u een of meer CPS's selecteert, configureert u het certificaat om alleen met die CSP's te werken. De CSP moet op de clientcomputer zijn geïnstalleerd als u de CPS tijdens inschrijving wilt gebruiken. Als u een specifieke CSP kiest die niet beschikbaar is op de clientcomputer, zal de inschrijving mislukken. |