Die Auswahl kryptografischer Optionen für eine Zertifizierungsstelle (Certification Authority, CA) kann bedeutende Auswirkungen auf die Sicherheit, Leistung und Kompatibilität dieser Zertifizierungsstelle haben. Obwohl die kryptografischen Standardoptionen für die meisten Zertifizierungsstellen möglicherweise ausreichend sind, kann sich die Möglichkeit der Implementierung von benutzerdefinierten Optionen für Administratoren und Anwendungsentwickler, die über ein ausgeprägteres Kryptografieverständnis verfügen und auf flexible Einstellungsmöglichkeiten angewiesen sind, als nützlich erweisen. Kryptografische Optionen können mithilfe von Kryptografiedienstanbietern (Cryptographic Service Providers, CSPs) oder Schlüsselspeicheranbietern implementiert werden.
Kryptografiedienstanbieter sind Hardware- und Softwarekomponenten von Windows-Betriebssystemen, mit denen generische Kryptografiefunktionen bereitgestellt werden. Kryptografiedienstanbieter können geschrieben werden, um verschiedene Verschlüsselungs- und Signaturalgorithmen bereitzustellen.
Schlüsselspeicheranbieter bieten auf Computern unter Windows Server 2008 R2, Windows Server 2008, Windows 7 oder Windows Vista umfangreichen Schlüsselschutz.
Auf der Seite Kryptografie konfigurieren, die beim Einrichten der Zertifizierungsstelle angezeigt wird, können Sie die folgenden Optionen konfigurieren:
-
Kryptografiedienstanbieter auswählen. Windows Server 2008 R2 und Windows Server 2008 enthalten zahlreiche Kryptografiedienstanbieter. Außerdem können zusätzliche Kryptografiedienstanbieter und Schlüsselspeicheranbieter hinzugefügt werden. Unter Windows Server 2008 R2 und Windows Server 2008 enthält die Anbieterliste den Namen des Algorithmus. Alle Anbieter mit einem Nummernzeichen (#) im Namen sind CNG-Anbieter (Cryptography Next Generation). CNG-Anbieter können mehrere asymmetrische Algorithmen unterstützen. Kryptografiedienstanbieter können nur einen einzelnen Algorithmus implementieren.
Hinweis Weitere Informationen finden Sie im Thema zu CNG (
https://go.microsoft.com/fwlink/?LinkID=85480 , möglicherweise in englischer Sprache). -
Schlüsselzeichenlänge Jeder Kryptografiedienstanbieter unterstützt unterschiedliche Zeichenlängen für kryptografische Schlüssel. Durch Konfigurieren einer größeren Schlüsselzeichenlänge können Sie die Sicherheit erhöhen, indem Sie böswilligen Benutzern die Entschlüsselung des Schlüssels erschweren. Dies kann sich jedoch auch auf die Leistung auswirken und die Geschwindigkeit kryptografischer Vorgänge verringern.
-
Wählen Sie den Hashalgorithmus zum Signieren von Zertifikaten aus, die von dieser Zertifizierungsstelle ausgestellt werden Mit Hashalgorithmen werden Zertifizierungsstellenzertifikate und von einer Zertifizierungsstelle ausgestellte Zertifikate signiert, um sicherzustellen, dass diese nicht manipuliert wurden. Jeder Kryptografiedienstanbieter unterstützt verschiedene Hashalgorithmen.
Hinweis Die Liste der verfügbaren Hashalgorithmen kann weiter eingeschränkt werden, wenn die Option DiscreteAlgorithm in der auf dem Computer installierten Datei CAPolicy.inf vor dem Einrichten der Zertifizierungsstelle konfiguriert wurde.
-
Verstärkte Sicherheitsfeatures für den privaten Schlüssel verwenden, die vom Kryptografiedienstanbieter bereitgestellt werden (dies erfordert möglicherweise eine Administratorinteraktion bei jedem Zertifizierungsstellenzugriff auf den privaten Schlüssel). Mit dieser Option kann die nicht genehmigte Verwendung einer Zertifizierungsstelle und ihrer privaten Schlüssel verhindert werden, indem vor jedem kryptografischen Vorgang vom Administrator ein Kennwort eingegeben werden muss.