L’onglet Traitement de la demande définit l’objectif d’un modèle de certificat, les fournisseurs de service de chiffrement pris en charge (CSP), la longueur de clé minimale, l’exportabilité, les paramètres d’inscription automatique, et si une protection forte de la clé privée est nécessaire.
Objectif du certificat
L’objectif du certificat définit son utilisation principale et peut correspondre à un des quatre paramètres décrits dans le tableau suivant.
| Paramètre | Objectif |
|---|---|
|
Chiffrement |
Contient les clés de chiffrement pour le chiffrement et déchiffrement. |
|
Signature |
Contient les clés de chiffrement pour signer uniquement les données. |
|
Signature et chiffrement |
Prend en charge toutes les utilisations principales de la clé de chiffrement d’un certificat, y compris le chiffrement des données, leur déchiffrement, l’ouverture de session initiale ou la signature numérique des données. |
|
Signature et ouverture de session avec carte à puce |
Permet l’ouverture de session initiale avec une carte à puce et la signature numérique des données ; ne peut pas servir au chiffrement des données. |
 | Remarques |
|
L’archivage de la clé n’est possible que si le rôle du certificat est défini sur Chiffrement ou Signature et chiffrement. |
Paramètres d’archive
Les Autorités de certification peuvent archiver les clés d’un sujet dans leurs bases de données lorsque les certificats sont délivrés. Si des sujets perdent leurs clés, il est possible de récupérer les informations dans la base de données et de les fournir de manière sécurisée au sujet.
Les paramètres de l’archivage de la clé dans le tableau suivant sont définis sous l’onglet Traitement de la demande.
| Paramètre | Rôle |
|---|---|
|
Archive la clé privée de chiffrement du sujet |
Si l’Autorité de certification émettrice est configurée pour l’archivage de la clé, la clé privée du sujet sera archivée. |
|
Autoriser l’exportation de la clé privée |
La clé privée du sujet peut être exportée vers un fichier pour la sauvegarde ou le transfert vers un autre ordinateur. |
|
Supprimer les certificats expirés ou révoqués (ne pas archiver) |
Si un certificat est renouvelé en raison de son expiration ou de sa révocation, le certificat délivré précédemment est supprimé du magasin de certificats du sujet. Par défaut, cette option est désactivée et le certificat est archivé. |
|
Inclure des algorithmes symétriques autorisés par le sujet |
Lorsque le sujet demande le certificat, celui-ci peut fournir une liste des algorithmes symétriques pris en charge. Cette option permet à l’Autorité de certification émettrice d’inclure ces algorithmes dans le certificat même s’ils ne sont pas reconnus ou pris en charge par ce serveur. |
Paramètres d’intervention de l’utilisateur
L’onglet Traitement de la demande permet aussi aux paramètres d’intervention de l’utilisateur décrits dans ce tableau d’être défini pour un modèle de certificat.
| Paramètre | Rôle |
|---|---|
|
Inscrire le sujet sans exiger une entrée de la part de l’utilisateur |
Cette option autorise l’inscription automatique sans interaction de l’utilisateur et correspond au paramètre par défaut pour les certificats d’utilisateur et d’ordinateur. |
|
Demander à l’utilisateur lors de l’inscription |
Si vous désactivez cette option, les utilisateurs ne sont pas obligés de fournir d’informations pour l’installation d’un certificat basé sur le modèle de certificat. |
|
Demander à l’utilisateur lors de l’inscription et exiger une entrée utilisateur lorsque la clé privée est utilisée |
Cette option permet à l’utilisateur de définir un mot de passe de protection fort pour la clé privée sur la clé privée de l’utilisateur lorsque la clé est générée et exige son utilisation par l’utilisateur à chaque fois que la clé privée et le certificat sont utilisés. |
Autres paramètres de traitement de demande version 3
L’onglet Traitement de la demande pour les modèles de certificats version 3 a été mis à jour pour apporter une prise en charge des nouvelles options disponibles sous l’onglet Chiffrement, ainsi que d’autres modifications. Les options sont répertoriées dans le tableau suivant.
| Paramètre | Rôle | ||||
|---|---|---|---|---|---|
|
Utiliser un algorithme symétrique avancé pour envoyer la clé à l’autorité de certification |
Cette option permet à l’administrateur de choisir l’algorithme AES (Advanced Encryption Standard) pour chiffrer les clés privées lors de leur transfert vers l’Autorité de certification pour archivage. Si cette option est activée, le client utilise le chiffrement symétrique AES-256 (ainsi que le certificat d’échange de l’Autorité de certification pour le chiffrement asymétrique) afin d’envoyer la clé privée à l’Autorité de certification pour archivage. Si cette option n’est pas sélectionnée, l’algorithme symétrique 3DES est utilisé. Étant donné que l’archivage de clé s’adresse aux clés de chiffrement (pas les clés de signature), cette option est activée uniquement si l’objectif du certificat est défini sur Chiffrement. | ||||
|
Autoriser d'autres comptes de service à acccéder à la clé privée |
Cette option permet de définir une liste de contrôle d’accès (ACL, Access Control List) personnalisée sur les clés privées des certificats d’ordinateurs basés sur tout modèle de certificat d’ordinateur version 3 à l’exception des modèles d’Autorité de certification racine, d’Autorité de certification secondaire ou inter-Autorité de certification racine. Une liste ACL personnalisée est nécessaire uniquement lorsqu’un compte de service qui requiert l’accès à la clé privée n’est pas inclus dans les autorisations par défaut. Les autorisations par défaut appliquées à la clé privée par le client d’inscription de certificat et le fournisseur de stockage de clés Microsoft incluent l’autorisation Contrôle total pour le groupe Administrateurs et le compte Système local. Les fournisseurs non-Microsoft peuvent appliquer des autorisations par défaut différentes et peuvent ne pas prendre en charge les listes ACL personnalisées définies à l’aide de cette option. Pour plus d’informations, voir la documentation de votre fournisseur.
|
Pour plus d’informations sur les options associées aux modèles de certificats version 3, voir Chiffrement.
Autres paramètres de traitement de demande version 2
Outre les paramètres d’archivage de clé, vous pouvez définir des options générales qui s’appliquent à tous les certificats basés sur les modèles de certificats version 2. Les options sont répertoriées dans le tableau suivant.
| Paramètre | Rôle |
|---|---|
|
Taille de clé minimale |
Cette option spécifie la taille minimale, en bits, de la clé qui sera générée pour ce certificat. |
|
Fournisseurs de services de chiffrement |
Liste des fournisseurs de services de chiffrement (CSP) qui seront utilisés pour s’inscrire à des certificats pour le modèle donné. La sélection d’un ou de plusieurs fournisseurs configure le certificat pour fonctionner uniquement avec ces fournisseurs. Le fournisseur doit être installé sur l’ordinateur client pour permettre son utilisation au cours de l’inscription. Si un fournisseur spécifique est choisi et n’est pas disponible sur un ordinateur client, l’inscription échoue. |