憑證授權單位 (CA) 的原則決定了使用者可以要求的憑證的類型,以及可以設定的選項。若啟用的話,您就可以使用 [進階憑證要求] 網頁,為每個要求的憑證設定下列選項:

  • [憑證範本] (來自企業 CA) 或 [需要的憑證類型] (來自獨立 CA)。指出憑證的公開金鑰可做哪些應用,例如用戶端驗證或電子郵件。

  • 加密編譯服務提供者 (CSP)。CSP 負責建立識別碼、破壞它們,以及使用它們來執行各種加密編譯操作。每個 CSP 都會提供不同 CryptoAPI 的執行方式。有些可提供較強的加密編譯演算法,而其他則會使用像是智慧卡等硬體元件。

  • 金鑰大小。憑證上的公開金鑰長度 (以位元表示)。一般來說,相較於較短的金鑰,惡意的使用者比較無法破解較長的金鑰。

  • 雜湊演算法。好的雜湊演算法可讓建立具有相同雜湊的兩個不同輸入無法進行。典型的雜湊演算法包括 MD2、MD4、MD5 和 SHA-1。

  • 金鑰使用方法。使用私密金鑰的方式。[交換] 表示私密金鑰可以用來啟用機密資訊的交換。[簽章] 表示私密金鑰只能用來建立數位簽章。[兩者] 表示既可以使用金鑰來交換,也可以使用它完成簽章功能。

  • [建立新的金鑰組][使用現存的金鑰組]。您可以針對憑證使用保存在您電腦上的現存公開及私密金鑰組,或是建立新的公開及私密金鑰組。

  • [啟用加強私密金鑰保護]。如果啟用加強私密金鑰保護,將會在每次需要使用私密金鑰時提示您輸入密碼。

  • 將金鑰標示成可匯出。當您將金鑰標示成可匯出時,即可將公開金鑰及私密金鑰組儲存成 PKCS #12 檔案。如果您變更電腦且要移動金鑰組,或要移除金鑰組並在另一個位置保護它們,此功能很有幫助。

  • 在本機電腦憑證存放區中儲存憑證。如果當其他使用者登入時,電腦需要存取與憑證相關的私密金鑰,則應該選取此選項。當要求憑證是簽發給電腦 (如網頁伺服器) 而不是簽發給使用者時,則選取此選項。

  • 要求格式。這個區段可用來選取 PKCS#10 或 CMC 格式。如果您想要稍後再提交要求,也可以選取 [將要求儲存至檔案]

若要完成此程序,至少需要 Users 或本機 Administrators 群組成員資格。請檢視本主題中「其他考量」的詳細資料。

透過網頁提交進階憑證要求
  1. 開啟網頁瀏覽器。

  2. 開啟 https://servername/certsrv,其中 servername 是裝載 CA 網頁註冊頁面之網頁伺服器的名稱。

  3. 按一下 [要求憑證]

  4. 按一下 [進階憑證要求]

  5. 按一下 [向這個 CA 建立並提交一個要求]

  6. 填入所要求的任何識別資訊及您需要的任何其他選項。

  7. 按一下 [提交]

  8. 執行下列其中一項:

    • 如果您看到 [憑證擱置] 網頁,請參閱檢查擱置的憑證要求,以了解檢查擱置的憑證程序。

    • 如果您看到 [憑證已發出] 網頁,請按一下 [安裝這個憑證]

其他考量

  • 使用者憑證可由使用者或系統管理員管理。發出給電腦或伺服器的憑證只能由具有適當權限的系統管理員或使用者進行管理。

  • 為了讓使用者可利用網頁註冊取得憑證,系統管理員必須在要求之憑證所根據的憑證範本上設定適當權限。

其他參考資料


目錄