選取憑證授權單位 (CA) 的加密編譯選項,可對該 CA 的安全性、效能及相容性產生重大的影響。雖然預設的加密編譯選項適用於大多數的 CA,但是執行自訂選項的功能對系統管理員和應用程式開發人員非常有用,這些人員均具備加密編譯的深度了解及此彈性的需要。加密編譯選項可以使用加密編譯服務提供者 (CSP) 或金鑰儲存提供者來執行。
CSP 是 Windows 作業系統的硬體和軟體元件,可提供泛型加密編譯功能。可寫入 CSP,以提供各種不同的加密和簽章演算法。
金鑰儲存提供者可在執行 Windows Server 2008 R2、Windows Server 2008、Windows 7 或 Windows Vista 的電腦上提供增強式金鑰保護。
在 CA 安裝程序的 [設定加密編譯] 頁面上,您可以設定下列選項:
-
[選取加密編譯服務提供者]。Windows Server 2008 R2 及 Windows Server 2008 包含多個 CSP,而且可以新增其他的 CSP 或金鑰儲存提供者。在 Windows Server 2008 R2 及 Windows Server 2008 中,提供者清單包括演算法的名稱。名稱中具有數字符號 (#) 的所有提供者均為新一代加密編譯 (CNG) 提供者。CNG 提供者可以支援多個非對稱演算法。CSP 僅可執行單一演算法。
附註 如需相關資訊,請參閱<新一代加密編譯>(
https://go.microsoft.com/fwlink/?LinkID=85480 (可能為英文網頁) )。 -
金鑰字元長度。每個 CSP 支援不同字元長度的加密編譯金鑰。設定較長的金鑰字元長度,可增強安全性讓惡意的使用者更加難以解密金鑰,但也會減緩加密編譯操作的效能。
-
選取用於簽署此 CA 所發行憑證的雜湊演算法。雜湊演算法是用於簽署 CA 憑證及由 CA 發行的憑證,以確定它們未被竄改。每個 CSP 均支援不同的雜湊演算法。
附註 如果在開始安裝 CA 之前,已在電腦安裝的 CAPolicy.inf 檔案中設定 DiscreteAlgorithm 選項,則可進一步限制可用的雜湊演算法清單。
-
[使用 CSP 提供的加強私密金鑰保護功能 (CA 每次存取私密金鑰時,可能都需要系統管理員互動)]。此選項可用來協助防止未經核准地使用 CA 及其私密金鑰,作法為要求系統管理員在進行每個加密編譯操作之前輸入密碼。