[要求処理] タブでは、証明書テンプレートの目的、サポートされる暗号化サービス プロバイダー (CSP)、最小キー長さ、エクスポートが可能かどうか、自動登録の設定、および秘密キーの強力な保護を必要とするかどうかを定義します。
証明書の目的
証明書の目的では、証明書の主な用途を定義します。次の表に示す 4 つの設定のうちいずれかを定義できます。
設定 | 目的 |
---|---|
暗号化 |
暗号化と暗号化解除のための暗号化キーを含めます。 |
署名 |
データへの署名専用の暗号化キーを含めます。 |
署名と暗号化 |
データの暗号化、データの暗号化解除、初回ログオン、データへのデジタル署名など、証明書の暗号化キーの主な用途をすべて網羅します。 |
署名とスマート カード ログオン |
スマート カードによる初回ログオンを許可し、データへのデジタル署名を許可します。データの暗号化には使用できません。 |
注 | |
キーのアーカイブは、証明書の目的を [暗号化] または [署名と暗号化] に設定した場合にのみ可能です。 |
アーカイブの設定
証明機関 (CA) は、証明書を発行するときに、サブジェクトのキーを自身のデータベースにアーカイブできます。サブジェクトが自身のキーを失った場合、データベースから情報を取得して、セキュリティを保護した状態でサブジェクトに提供できます。
次の表に示すキーのアーカイブの設定が [要求処理] タブで定義されています。
設定 | 目的 |
---|---|
サブジェクトの秘密キーをアーカイブする |
発行元 CA がキーをアーカイブするように構成されている場合に、サブジェクトの秘密キーをアーカイブします。 |
秘密キーのエクスポートを許可する |
サブジェクトの秘密キーをバックアップや他のコンピューターに転送する目的で、ファイルにエクスポートできます。 |
無効な証明書、および有効期限が切れた証明書を削除する (アーカイブしない) |
期限切れや失効のために証明書が更新された場合に、以前に発行された証明書がサブジェクトの証明書ストアから削除されます。既定では、このオプションは有効ではなく、証明書はアーカイブされます。 |
サブジェクトが許可した対称アルゴリズムを含める |
サブジェクトが証明書を要求するときに、サポートされている対称アルゴリズムの一覧をサブジェクトが提供できます。このオプションにより、発行元 CA はそれらのアルゴリズムがそのサーバーで認識またはサポートされていない場合でも、それらのアルゴリズムを証明書に含めることができます。 |
ユーザー入力の設定
[要求の処理] タブでは、次の表に示すいくつかのユーザー入力の設定を証明書テンプレートに対して定義することもできます。
設定 | 目的 |
---|---|
ユーザー入力なしでサブジェクトを登録する |
このオプションにより、ユーザーの介入なしで自動登録が可能になります。このオプションは、コンピューター証明書とユーザー証明書の両方における既定の設定です。 |
登録中にユーザーにメッセージを表示する |
このオプションを無効にすると、ユーザーは証明書テンプレートに基づく証明書をインストールする際に入力が不要になります。 |
登録中にユーザーにメッセージを表示し、秘密キーが使われている場合はユーザー入力を求める |
このオプションにより、ユーザーは秘密キーの生成時に強力な秘密キー保護パスワードをキーに設定できます。ユーザーは、証明書と秘密キーを使用するときに必ずそのパスワードを使用することが求められます。 |
バージョン 3 の要求の処理に関するその他の設定
バージョン 3 の証明書テンプレートの [要求処理] タブは、[暗号化] タブで使用できる新しいオプションやその他の変更をサポートするように更新されています。これらのオプションを次の表に示します。
設定 | 目的 | ||||
---|---|---|---|---|---|
キーを CA に送信するとき、高度な対称アルゴリズムを使用する |
このオプションにより、管理者は Advanced Encryption Standard (AES) アルゴリズムを選択して、秘密キーがアーカイブのために CA に転送される間、秘密キーを暗号化できます。このオプションをオンにした場合、クライアントは AES-256 対称暗号化 (および非対称暗号化に対しては CA の交換証明書) を使用して、秘密キーをアーカイブのために CA に送信します。このオプションをオフにした場合は、3DES 対称アルゴリズムが使用されます。キーのアーカイブはキーへの署名ではなくキーの暗号化が目的であるため、このオプションは証明書の目的を [暗号化] に設定した場合にのみ有効になります。 | ||||
秘密キーにアクセスするための追加のサービス アカウントを承認する |
このオプションを使用すると、ルート CA、下位 CA、クロス CA テンプレート以外のバージョン 3 のコンピューター証明書テンプレートに基づくコンピューター証明書の秘密キーに、カスタムのアクセス制御リスト (ACL) を定義できます。カスタムの ACL は、秘密キーへのアクセスが必要なサービス アカウントが、既定のアクセス許可に含まれていない場合にのみ必要です。マイクロソフトの証明書登録クライアントおよびソフトウェア キー ストレージ プロバイダーによって秘密キーに適用される既定のアクセス許可は、Administrators グループとローカル システム アカウントのフル コントロール アクセス許可が含まれています。マイクロソフト以外のプロバイダーによって、別の既定のアクセス許可が適用され、このオプションを使用して定義されているカスタムの ACL がサポートされない場合があります。詳細については、プロバイダーのマニュアルを参照してください。
|
バージョン 3 の証明書テンプレートに関連するオプションの詳細については、「暗号化」を参照してください。
バージョン 2 の要求の処理に関するその他の設定
キーのアーカイブの設定に加えて、バージョン 2 の証明書テンプレートに基づくすべての証明書に影響を与える、全般的なオプションを定義できます。これらのオプションを次の表に示します。
設定 | 目的 |
---|---|
最小キー サイズ |
この証明書に対して生成されるキーの最小サイズをビット単位で指定します。 |
CSP |
対象のテンプレートについて、その証明書の登録に使用される暗号化サービス プロバイダー (CSP) の一覧が表示されます。1 つまたは複数の CSP を選択することにより、それらの CSP でのみ動作するように証明書が構成されます。CSP が登録時に使用されるようにするには、CSP がクライアント コンピューターにインストールされている必要があります。特定の CSP を選択していて、その CSP がクライアント コンピューターで使用できない場合は、登録が失敗します。 |