De selectie van cryptografieopties voor een certificeringsinstantie (CA) kan belangrijke gevolgen hebben voor de beveiliging, prestaties en compatibiliteit van de desbetreffende CA. Hoewel de standaardcryptografieopties geschikt zijn voor de meeste CA's, kan de mogelijkheid om aangepaste opties te implementeren nuttig zijn voor beheerders en toepassingsontwikkelaars met een uitgebreidere kennis van cryptografie die behoefte hebben aan deze flexibiliteit. Cryptografieopties kunnen worden geïmplementeerd via cryptografieproviders (CSP's) of sleutelopslagproviders.

CSP's zijn hardware- en softwareonderdelen van Windows-besturingssystemen die algemene cryptografiefuncties bieden. CSP's kunnen diverse versleutelings- en handtekeningalgoritmen bieden.

Sleutelopslagproviders kunnen bescherming met sterke sleutels bieden op computers waarop Windows Server 2008 R2, Windows Server 2008, Windows 7 of Windows Vista wordt uitgevoerd.

Op de pagina Cryptografie configureren van de installatieprocedure van de CA kunt u de volgende opties configureren:

  • Selecteer een cryptografieprovider. Windows Server 2008 R2 en Windows Server 2008 beschikken over een aantal CSP's, waaraan aanvullende CSP's of sleutelopslagproviders kunnen worden toegevoegd. De lijst met providers in Windows Server 2008 R2 en Windows Server 2008 bevat de naam van het algoritme. Alle providers waarvan de naam een hekje (#) bevat, zijn CNG-providers (Cryptography Next Generation). CNG-providers kunnen meerdere asymmetrische algoritmen ondersteunen. Door CSP's kan slechts één algoritme worden geïmplementeerd.

    Opmerking

    Zie Cryptography Next Generation (https://go.microsoft.com/fwlink/?LinkID=85480) voor meer informatie.

  • Tekenlengte van sleutels. Elke CSP ondersteunt andere tekenlengten voor cryptografiesleutels. De beveiliging kan worden verbeterd door een langere sleutellengte te configureren. Het wordt dan moeilijker voor een kwaadwillende gebruiker om de sleutel te ontsleutelen. Cryptografiebewerkingen kunnen hierdoor echter worden vertraagd.

  • Selecteer de hashalgoritme voor ondertekening van certificaten die door deze CA worden verleend. Hash-algoritmen worden gebruikt voor ondertekening van CA-certificaten en certificaten die door een CA zijn verleend om te kunnen controleren of hiermee niet is geknoeid. Elke CSP kan verschillende hash-algorithmen ondersteunen.

    Opmerking

    De lijst met beschikbare hash-algoritmen kan verder worden beperkt als voorafgaand aan de installatie van de CA de optie DiscreteAlgorithm is geconfigureerd in een bestand CAPolicy.inf.

  • Gebruik de functies voor een hoog beveiligingsniveau voor persoonlijke sleutels van de cryptografieprovider (mogelijk is interactie van de beheerder nodig zodra de CA toegang zoekt tot de persoonlijke sleutel). Deze optie kan niet-goedgekeurd gebruik van de CA en de bijbehorende persoonlijke sleutel helpen voorkomen door af te dwingen dat de beheerder voorafgaand aan elke cryptografiebewerking een wachtwoord invoert.

Aanvullende naslaginformatie


Inhoudsopgave