Valet av krypteringsalternativ för en certifikatutfärdare kan ha stor påverkan på säkerhet, prestanda och kompabilitet. Även om standardkrypteringsalternativen säkert passar de flesta certifikatutfärdare kan möjligheten att implementera anpassningar vara användbar för administratörer och programvaruutvecklare med en större kunskap om kryptering och som har behov av den flexibilitet som alternativen ger. Krypteringsalternativ kan implementeras med kryptografiproviders eller stöd för nyckellagring.
Kryptografiproviders består av både maskin- och programvarukomponenter av Windows-operativsystem som tillhandahåller allmänna krypteringsfunktioner. Kryptografiproviders kan användas för många olika krypterings- och signaturalgoritmer.
Nyckellagringsplatser ger ett starkt nyckelskydd på datorer med Windows Server 2008 R2, Windows Server 2008, Windows 7 eller Windows Vista.
När du installerar en certifikatutfärdare kan du ange följande alternativ på sidan Konfigurera kryptografi:
-
Välj en kryptografiprovider. Windows Server 2008 R2 och Windows Server 2008 innehåller ett antal kryptografiproviders och det går att lägga till fler kryptografiproviders eller nyckellagerplatser. I Windows Server 2008 R2 och Windows Server 2008 kan providerlistan inkludera namnet på algoritmen. Alla providers med nummertecknet (#) i namnet är CNG-providers (Cryptography Next Generation). CNG-providers kan stödja flera asymmetriska algoritmer. Kryptografiproviders kan implementera endast en enda algoritm.
OBS Mer information finns på sidan om nästa generations kryptering (
https://go.microsoft.com/fwlink/?LinkID=85480 (sidan kan vara på engelska) ). -
Nyckelteckenlängd. Varje kryptografiprovider stöder olika teckenlängder för krypteringsnycklar. Om du konfigurerar en längre nyckel kan säkerheten ökas genom att det blir svårare att dekryptera nyckeln, men det kan också försämra prestanda för krypteringsåtgärder.
-
Markera hash-algoritmen för signering av certifikat som utfärdas av den här certifikatutfärdaren. Hash-algoritmer används för signering av certifikatutfärdarcertifikat som utfärdas av en certifikatutfärdare för att säkerställa att de inte har manipulerats. Varje kryptografiprovider stöder olika hash-algoritmer.
OBS Listan över tillgängliga hash-algoritmer kan ytterligare begränsas om alternativet DiscreteAlgorithm konfigureras i en CAPolicy.inf-fil som installeras på datorn innan installationen av certifikatutfärdaren startas.
-
Använd de funktioner för starkt skydd av privat nyckel som tillhandahålls av kryptografiprovidern (detta kan kräva åtgärd av administratör varje gång den privata nyckeln används av certifikatutfärdaren). Alternativet kan användas för att förhindra obehörig användning av certifikatutfärdaren och den privata nyckeln genom att kräva att administratören ska ange ett lösenord före varje krypteringsaktivitet.