Auf der Registerkarte Anforderungsverarbeitung definieren Sie den Zweck einer Zertifikatvorlage, die unterstützten Kryptografiedienstanbieter, die minimale Schlüssellänge, die Exportierbarkeit, Einstellungen für die automatische Registrierung und ob verstärkte Sicherheit für den privaten Schlüssel erforderlich sein soll.

Zertifikatzweck

Durch den Zertifikatzweck wird die beabsichtigte Hauptverwendung des Zertifikats definiert. Zur Verfügung stehen die in der folgenden Tabelle beschriebenen vier Einstellungen.

Einstellung Zweck

Verschlüsselung

Enthält Kryptografieschlüssel für Verschlüsselung und Entschlüsselung.

Signatur

Enthält Kryptografieschlüssel nur für das Signieren von Daten.

Signatur und Verschlüsselung

Deckt alle Hauptverwendungen des Kryptografieschlüssels eines Zertifikats ab, einschließlich der Verschlüsselung und Entschlüsselung von Daten, der ersten Anmeldung und dem digitalen Signieren von Daten.

Signatur und Smartcard-Anmeldung

Ermöglicht die erste Anmeldung mit einer Smartcard und das digitale Signieren von Daten; kann nicht für die Datenverschlüsselung verwendet werden.


Hinweis

Die Schlüsselarchivierung ist nur möglich, wenn Verschlüsselung oder Signatur und Verschlüsselung als Zertifikatzweck festgelegt ist.

Archiveinstellungen

Die Schlüssel von Antragstellern können von Zertifizierungsstellen in ihren Datenbanken archiviert werden, wenn Zertifikate ausgestellt werden. Wenn ein Antragsteller seine Schlüssel verliert, können die Informationen aus der Datenbank abgerufen und dem Antragsteller sicher zur Verfügung gestellt werden.

Die Einstellungen für die Schlüsselarchivierung in der folgenden Tabelle werden auf der Registerkarte Anforderungsverarbeitung definiert.

Einstellung Zweck

Privaten Schlüssel für die Verschlüsselung archivieren

Wenn die ausstellende Zertifizierungsstelle für die Schlüsselarchivierung konfiguriert ist, wird der private Schlüssel des Antragstellers archiviert.

Exportieren von privatem Schlüssel zulassen

Der private Schlüssel des Antragstellers kann in eine Datei exportiert werden, um ihn zu sichern oder auf einen anderen Computer zu übertragen.

Gesperrte oder abgelaufene Zertifikate löschen (nicht archivieren)

Wenn ein Zertifikat erneuert wird, weil es abgelaufen war oder gesperrt wurde, wird das vorher ausgestellte Zertifikat aus dem Zertifikatspeicher des Antragstellers entfernt. Diese Option ist standardmäßig nicht aktiviert, und das Zertifikat wird archiviert.

Vom Antragsteller zugelassene symmetrische Algorithmen einbeziehen

Wenn der Antragsteller das Zertifikat anfordert, kann er eine Liste unterstützter symmetrischer Algorithmen bereitstellen. Mit dieser Option kann die ausstellende Zertifizierungsstelle diese Algorithmen in das Zertifikat einschließen, auch wenn sie vom Server nicht erkannt oder unterstützt werden.

Benutzereingabeeinstellungen

Auf der Registerkarte Anforderungsverarbeitung können auch verschiedene in dieser Tabelle beschriebene Benutzereingabeeinstellungen für eine Zertifikatvorlage definiert werden.

Einstellung Zweck

Antragsteller ohne Benutzereingabe registrieren

Diese Option ermöglicht die automatische Registrierung ohne Benutzerinteraktion und wird als Standardeinstellung für Computer- und Benutzerzertifikate verwendet.

Benutzer zur Eingabe während der Registrierung auffordern

Wenn diese Option deaktiviert ist, brauchen die Benutzer für die Installation eines auf der Zertifikatvorlage basierenden Zertifikats nichts einzugeben.

Benutzer zur Eingabe während der Registrierung auffordern und Benutzereingabe beim Verwenden eines privaten Schlüssels anfordern

Diese Option ermöglicht dem Benutzer beim Generieren des Schlüssels ein Kennwort für verstärkte Sicherheit für den privaten Schlüssel des Benutzers festzulegen. Der Benutzer muss den Schlüssel bei jeder Verwendung des Zertifikats und des privaten Schlüssels verwenden.

Weitere Einstellungen für die Anforderungsverarbeitung von Version 3

Die Registerkarte Anforderungsverarbeitung für Zertifikatvorlagen der Version 3 wurde aktualisiert und bietet jetzt neben anderen Änderungen Unterstützung für die neuen Optionen auf der Registerkarte Kryptografie. In der folgenden Tabelle werden die Optionen aufgelistet.

Einstellung Zweck

Erweiterten symmetrischen Algorithmus zum Senden des Schlüssels an die Zertifizierungsstelle verwenden

Mit dieser Option kann der Administrator den AES-Algorithmus (Advanced Encryption Standard) auswählen, mit dem private Schlüssel während der Übertragung an die Zertifizierungsstelle zur Schlüsselarchivierung verschlüsselt werden. Wenn diese Option ausgewählt ist, verwendet der Client symmetrische AES-256-Verschlüsselung (zusammen mit dem Austauschzertifikat der Zertifizierungsstelle für asymmetrische Verschlüsselung), um den privaten Schlüssel zur Archivierung an die Zertifizierungsstelle zu senden. Wenn diese Option nicht ausgewählt ist, wird der symmetrische 3DES-Algorithmus verwendet. Da die Schlüsselarchivierung für Verschlüsselungsschlüssel (nicht für Signierungsschlüssel) gedacht ist, ist diese Option nur aktiviert, wenn der Zertifikatzweck auf Verschlüsselung festgelegt ist.

Leseberechtigungen für privaten Schlüssel zum Netzwerkdienst hinzufügen (nur für Computervorlagen aktivieren)

Mit dieser Option kann eine benutzerdefinierte Zugriffssteuerungsliste (Access Control List, ACL) für die privaten Schlüssel von Computerzertifikaten definiert werden, die auf einer beliebigen Computerzertifikatvorlage der Version 3 basieren. Ausgenommen hiervon sind Vorlagen für Stammzertifizierungsstellen, untergeordnete Zertifizierungsstellen oder kreuzzertifizierte Zertifizierungsstellen. Eine benutzerdefinierte ACL ist nur dann notwendig, wenn ein Dienstkonto, das den Zugriff auf den privaten Schlüssel erfordert, nicht in die Standardberechtigungen eingeschlossen ist. Zu den Standardberechtigungen, die vom Microsoft-Zertifikatregistrierungsclient und dem Software-Schlüsselspeicheranbieter auf den privaten Schlüssel angewendet werden, gehört die Berechtigung Vollzugriff für die Gruppe Administratoren und das lokale Systemkonto. Andere Anbieter als Microsoft können andere Standardberechtigungen anwenden und bieten möglicherweise keine Unterstützung für benutzerdefinierte ACLs, die mithilfe dieser Option definiert werden. Weitere Informationen finden Sie in der Dokumentation Ihres Anbieters.

Hinweis

Diese Option ersetzt die Option Leseberechtigungen für privaten Schlüssel zum Netzwerkdienst hinzufügen. In Windows Server 2008 R2 umfassen die Standardberechtigungen, die auf den privaten Schlüssel von OCSP-Antwortsignaturzertifikaten angewendet werden, die Berechtigung Lesen für das Online-Responder-Dienstkonto und die Berechtigung Vollzugriff für die Gruppe Administratoren und das lokale Systemkonto.


Weitere Informationen zu den mit Zertifikatvorlagen der Version 3 verknüpften Optionen finden Sie unter Kryptografie.

Weitere Einstellungen für die Anforderungsverarbeitung von Version 2

Zusätzlich zu den Einstellungen für die Schlüsselarchivierung können Sie allgemeine Optionen definieren, die sich auf alle Zertifikate auswirken, die auf Zertifikatvorlagen der Version 2 basieren. In der folgenden Tabelle werden die Optionen aufgelistet.

Einstellung Zweck

Minimale Schlüsselgröße

Diese Option gibt die minimale Größe des für das Zertifikat generierten Schlüssels in Bits an.

Kryptografiedienstanbieter

Dies ist eine Liste der Kryptografiedienstanbieter, die zum Registrieren von Zertifikaten für die jeweilige Vorlage verwendet werden. Wenn Sie einen oder mehrere Kryptografiedienstanbieter auswählen, wird das Zertifikat so konfiguriert, dass es nur mit diesen Kryptografiedienstanbietern verwendet werden kann. Der Kryptografiedienstanbieter muss auf dem Clientcomputer installiert sein, damit er bei der Registrierung verwendet werden kann. Wenn ein bestimmter Kryptografiedienstanbieter ausgewählt wird und auf dem Clientcomputer nicht zur Verfügung steht, schlägt die Registrierung fehl.