A hitelesítésszolgáltatók titkosítási beállításainak megválasztása jelentős következményekkel jár a hitelesítésszolgáltatók biztonsága, teljesítménye és kompatibilitása szempontjából. Az alapértelmezett titkosítási beállítások általában megfelelnek ugyan a legtöbb hitelesítésszolgáltatóhoz, az egyéni beállítások lehetősége azonban hasznos lehet a titkosításhoz mélyebben értő rendszergazdák és alkalmazásfejlesztők közül azok számára, akiknek szükségük van erre a rugalmasságra. A titkosítási beállítások kriptográfiai szolgáltatók vagy kulcstárolási szolgáltatók használatával telepíthetők.
A kriptográfiai szolgáltatók a Windows operációs rendszer olyan hardver- és szoftverelemei, amelyek általános titkosítási funkciókat nyújtanak. A kriptigráfiai szolgáltatók kialakíthatók egy sor titkosítási és aláírási algoritmus szolgáltatására.
A kulcstárolási szolgáltatók erős kulcsvédelmet nyújtanak Windows Server 2008 R2, Windows Server 2008, Windows 7 vagy Windows Vista operációs rendszereket futtató számítógépeken.
Hitelesítésszolgáltató létesítésének folyamatában a Titkosítás konfigurálása oldalon az alábbi beállításokat lehet megadni:
-
Válasszon kriptográfiai szolgáltatót. A Windows Server 2008 R2 és a Windows Server 2008 rendszer több kriptográfiai szolgáltatót tartalmaz, de további kriptográfiai szolgáltatók vagy kulcstárolási szolgáltatók hozzáadására is van lehetőség. A Windows Server 2008 R2 és a Windows Server 2008 rendszerben a szolgáltatók listája tartalmazza az algoritmus nevét. Minden olyan szolgáltató, amelynek nevében kettőskereszt (#) van, Cryptography Next Generation (CNG) szolgáltató. A CNG-szolgáltatók több aszimmetrikus algoritmust tudnak támogatni. A kriptográfiai szolgáltatók ezzel szemben csak egy algoritmus telepítésére képesek.
Megjegyzés További információ: Cryptography Next Generation (
https://go.microsoft.com/fwlink/?LinkID=85480 ). -
Kulcs karakterhossza. Mindegyik kriptográfiai szolgáltató a kriptográfiai kulcsok különböző karakterhosszát támogatja. Hosszabb kulcskarakter konfigurálása növelheti a biztonságot, mivel a rosszindulatú felhasználók számára megnehezíti a kulcs visszafejtését, de lassíthatja is a titkosítási műveletek végrehajtását.
-
Kivanotoló algoritmus beállítása az adott hitelesítésszolgáltató által kiállított tanúsítványok aláírására. Kivonatoló algoritmusokat hitelesítésszolgáltató által kiállított tanúsítványok aláírására használnak, így tanúsítva, hogy nem történt velük visszaélés. Mindegyik kriptográfiai szolgáltató alkalmas különböző kivonatoló algoritmusok támogatására.
Megjegyzés A használható kivonatoló algoritmusok köre tovább szűkíthető, ha a hitelesítésszolgáltató beállításának megkezdése előtt a számítógépen telepített CAPolicy.inf fájlban megtörtént a DiscreteAlgorithm beállítás konfigurálása.
-
A kriptográfiai szolgáltató által a titkos kulcs erős védelmére biztosított szolgáltatások használata (ez a beállítás rendszergazdai beavatkozást tehet szükségessé, valahányszor a hitelesítésszolgáltató hozzáfér a titkos kulcshoz). Ez a beállítás a hitelesítésszolgáltató és annak titkos kulcsai engedély nélküli használatának megelőzésére használható, jelszó megadását kérve a rendszergazdától minden titkosítási művelet előtt.