Bir sertifika yetkilisi için (CA) şifreleme seçenekleri belirlemek, söz konusu CA üzerinde önemli güvenlik, performans ve uyumluluk etkilerine sahip olabilir. Varsayılan şifreleme seçenekleri çoğu CA için uygun olmakla birlikte, özel seçenekler uygulama olanağı, şifrelemeyi iyi kavramış ve bu esnekliğe gereksinim duyan yöneticiler ve uygulama geliştiriciler için yararlı olabilir. Şifreleme seçenekleri, şifreleme hizmet sağlayıcıları (CSP) veya anahtar depolama sağlayıcıları kullanılarak uygulanabilir.
CSP'ler Windows işletim sistemlerinin, genel şifreleme işlevleri sağlayan donanım ve yazılım bileşenleridir. CSP'ler çeşitli şifrele ve imza algoritmaları sağlayacak şekilde yazılabilir.
Anahtar depolama sağlayıcıları Windows Server 2008 R2, Windows Server 2008, Windows 7 veya Windows Vista çalıştıran bilgisayarlarda güçlü anahtar koruması sağlayabilir.
CA ayar işleminin Şifrelemeyi Yapılandırma sayfasında, aşağıdaki seçenekleri yapılandırabilirsiniz:
-
Bir şifreleme hizmeti sağlayıcısı seçin. Windows Server 2008 R2 ve Windows Server 2008, birtakım CSP'ler içerir ve başka CSP'ler veya anahtar depolama sağlayıcıları da eklenebilir. Windows Server 2008 R2 ve Windows Server 2008'de, sağlayıcı listesi algoritmanın adını içerir. Adında sayı işareti (#) bulunan tüm sağlayıcılar Cryptography Next Generation (CNG) sağlayıcılarıdır. CNG sağlayıcıları birden fazla asimetrik algoritmayı destekleyebilir. CSP'ler yalnızca bir algoritma uygulayabilir.
Not Daha fazla bilgi için bkz. Cryptography Next Generation (
https://go.microsoft.com/fwlink/?LinkID=85480 ) (Bu sayfa İngilizce içeriğe sahip olabilir). -
Anahtar karakter uzunluğu. Her CSP, şifreleme anahtarları için farklı karakter uzunluklarını destekler. Uzun bir anahtar karakter uzunluğu yapılandırılması, kötü amaçlı kullanıcıların anahtarın şifresini çözmesini güçleştirerek güvenliği artırabilir, ancak şifreleme işlemlerini yavaşlatarak performansı da düşürebilir.
-
Bu CA tarafından verilen sertifikaları imzalamak için karma algoritmasını seç. Karma algoritmaları, müdahale edilmediklerinden emin olmak amacıyla, CA sertifikalarını ve bir CA tarafından verilen sertifikaları imzalamak için kullanılır. Her CSP farklı karma algoritmalarını destekleyebilir.
Not CA ayarı işlemi başlamadan bilgisayarda yüklü olan bir CAPolicy.inf dosyasında DiscreteAlgorithm seçeneği yapılandırılmışsa, kullanılabilir karma algoritmalar listesi daha da sınırlandırılabilir.
-
CSP tarafından sağlanan güçlü özel anahtar koruma özelliklerini kullan (Bu seçenek, CA tarafından özel anahtara her erişildiğinde yönetici etkileşimi gerektirebilir). Bu seçenek, her şifreleme işleminden önce yöneticinin parola girmesini zorunlu kılarak, CA'nın ve özel anahtarının onaylanmayan kullanımlarını önlemek için kullanılabilir.