Výběr kryptografických možností pro certifikační autoritu může mít pro danou certifikační autoritu významné důsledky z hlediska zabezpečení, výkonu a kompatibility. Ačkoli výchozí kryptografické možnosti jsou pravděpodobně vhodné pro většinu certifikačních autorit, může být implementace vlastních možností vhodná pro správce a vývojáře aplikací s rozsáhlejšími znalostmi kryptografie, kteří tuto flexibilitu potřebují. Kryptografické možnosti lze implementovat pomocí zprostředkovatelů kryptografických služeb nebo úložiště klíčů.

Zprostředkovatelé kryptografických služeb jsou hardwarové a softwarové součásti operačních systémů Windows zajišťující obecné kryptografické funkce. Tyto zprostředkovatele lze vytvořit tak, že obsahují různé druhy algoritmů pro šifrování a podepisování.

Zprostředkovatelé úložiště klíčů mohou zajistit silnou ochranu klíčů v počítačích se systémem Windows Server 2008 R2, Windows Server 2008, Windows 7 nebo Windows Vista.

Na stránce Konfigurovat kryptografii v procesu instalace certifikační autority můžete konfigurovat následující možnosti:

  • Vyberte zprostředkovatele kryptografických služeb. Systém Windows Server 2008 R2 a Windows Server 2008 obsahují několik zprostředkovatelů kryptografických služeb a další zprostředkovatele kryptografických služeb nebo úložiště klíčů lze přidat. V systému Windows Server 2008 R2 a Windows Server 2008 obsahuje seznam zprostředkovatelů název algoritmu. Všichni zprostředkovatelé se znaménkem čísla (#) v názvu jsou zprostředkovatelé CNG (Cryptography Next Generation). Zprostředkovatelé CNG mohou podporovat více asymetrických algoritmů. Zprostředkovatelé kryptografických služeb mohou implementovat pouze jeden algoritmus.

    Poznámka

    Další informace najdete v článku Kryptografie CNG (stránka může být v angličtině) (https://go.microsoft.com/fwlink/?LinkID=85480).

  • Délka klíče ve znacích. Každý zprostředkovatel kryptografických služeb podporuje jinou délku kryptografických klíčů ve znacích. Při konfiguraci delšího klíče je možné zvýšit zabezpečení, protože pro uživatele se zlými úmysly je obtížnější klíč dešifrovat, ale může tím být také zpomalen výkon kryptografických operací.

  • Vyberte algoritmus hash pro podepisování certifikátů vydaných touto certifikační autoritou. Algoritmy hash se používají k podpisu certifikátů certifikační autority a certifikátů vydaných certifikační autoritou, aby bylo zajištěno, že s nimi nikdo neoprávněně nemanipuloval. Jednotliví zprostředkovatelé kryptografických služeb mohou podporovat různé algoritmy hash.

    Poznámka

    Seznam dostupných algoritmů hash je možné dále omezit, pokud byla nakonfigurována možnost DiscreteAlgorithm v souboru CAPolicy.inf nainstalovaném v počítači před zahájením instalace certifikační autority.

  • Používat funkce silné ochrany pomocí privátních klíčů poskytované zprostředkovatelem kryptografických služeb (CSP) (Může vyžadovat interakci správce při každém přístupu k privátnímu klíči ze strany certifikační autority.). Tuto možnost lze použít k zabránění neoprávněného použití certifikační autority a příslušného privátního klíče tak, že správce musí před každou kryptografickou operací zadat heslo.


Obsah