A seleção de opções criptográficas de uma autoridade de certificação (CA) pode ter implicações significativas de segurança, desempenho e compatibilidade para essa autoridade de certificação. Embora as opções criptográficas padrão possam ser adequadas para a maioria da autoridades de certificação, a capacidade de implementar opções personalizadas pode ser útil para administradores e desenvolvedores de aplicativos com uma compreensão mais avançada de criptografia e necessidade dessa flexibilidade. As opções criptográficas podem ser implementadas com os CSPs (provedores de serviços criptográficos) ou os provedores de armazenamento de chave.
Os CSPs são componentes de hardware e software dos sistemas operacionais Windows, que fornecem funções criptográficas genéricas. Eles podem ser gravados para fornecer uma variedade de algoritmos de criptografia e assinatura.
Os provedores de armazenamento de chave fornecem forte proteção de chave em computadores quem executam o Windows Server 2008 R2, o Windows Server 2008, o Windows 7 ou o Windows Vista.
Na página Configurar Criptografia do processo de configuração da autoridade de certificação, você pode configurar as seguintes opções:
-
Selecionar um provedor de serviços de criptogr0fia. O Windows Server 2008 R2 e o Windows Server 2008 incluem vários CSPs e é possível adicionar outros CSPs ou provedores de armazenamento de chave. No Windows Server 2008 R2 e no Windows Server 2008, a lista de provedores contém o nome do algoritmo. Todos os provedores com um sinal numérico (#) no nome são provedores CNG (criptografia de última geração). Provedores CNG podem fornecer suporte a vários algoritmos assimétricos. Os CSPs podem implementar somente um único algoritmo.
Observação Para obter mais informações sobre criptografia de última geração, consulte
https://go.microsoft.com/fwlink/?LinkID=85480 ) (essa página pode estar em inglês). -
Tamanho da chave em caracteres. Cada CSP oferece suporte a chaves criptográficas de diferentes tamanhos de caracteres. A configuração de um comprimento de chave maior pode aprimorar a segurança, dificultando a descriptografia da chave por um usuário mal-intencionado, mas também pode tornar mais lento o desempenho de operações criptográficas.
-
Selecionar o algoritmo hash para assinar certificados emitidos para esta CA. Os algoritmos hash são usados para assinar certificados da autoridade de certificação e certificados emitidos por uma autoridade de certificação para garantir que eles não tenham sido violados. Cada CSP pode dar suporte a diferentes algoritmos de hash.
Observação A lista de algoritmos hash disponíveis pode ser mais restrita se a opção DiscreteAlgorithm tiver sido configurada em um arquivo CAPolicy.inf instalado no computador antes do início da configuração da autoridade de certificação.
-
Usar recursos de proteção de chave privada forte fornecidos pelo CSP (isso poderá exigir a interação do administrador sempre que a chave privada for acessada pela autoridade de certificação). Esta opção pode ser usada para ajudar a evitar o uso não aprovado da autoridade de certificação e de sua chave privada, exigindo que o administrador digite uma senha antes de cada operação criptográfica.