Wybór opcji kryptograficznych dla urzędu certyfikacji może mieć poważne skutki dla bezpieczeństwa, wydajności i zgodności tego urzędu. Domyślne opcje kryptograficzne mogą być wprawdzie odpowiednie dla większości urzędów certyfikacji, jednak możliwość implementowania niestandardowych opcji może być przydatna dla administratorów i deweloperów aplikacji, którzy mają dużo większą wiedzę na temat kryptografii i potrzebę tego rodzaju elastyczności. Opcje kryptograficzne można implementować przy użyciu dostawców usług kryptograficznych (CSP) lub dostawców magazynów kluczy.
Dostawcy usług kryptograficznych to składniki sprzętowe i programowe systemów operacyjnych Windows, które zapewniają ogólne funkcje kryptograficzne. Dostawców usług kryptograficznych można napisać w taki sposób, aby udostępniali różne algorytmy szyfrowania i podpisywania.
Na komputerach z systemem Windows Server 2008 R2, Windows Server 2008, Windows 7 lub Windows Vista dostawcy magazynów kluczy mogą zapewniać silną ochronę kluczy.
Na stronie Konfigurowanie kryptografii procesu instalacji urzędu certyfikacji można skonfigurować następujące opcje:
-
Wybierz dostawcę usług kryptograficznych. Systemy Windows Server 2008 R2 i Windows Server 2008 oferują pewną liczbę dostawców usług kryptograficznych oraz umożliwiają dodawanie kolejnych dostawców usług kryptograficznych lub dostawców magazynów kluczy. W systemach Windows Server 2008 R2 i Windows Server 2008 na liście dostawców znajduje się nazwa algorytmu. Wszyscy dostawcy mający w nazwie znak numeru (#) są dostawcami kryptografii nowej generacji (CNG, Cryptography Next Generation). Dostawcy CNG mogą obsługiwać wiele algorytmów asymetrycznych. Dostawcy usług kryptograficznych mogą zaimplementować tylko jeden algorytm.
Uwaga Aby uzyskać więcej informacji, zobacz artykuł na temat kryptografii nowej generacji (
https://go.microsoft.com/fwlink/?LinkID=85480 ) (strona może zostać wyświetlona w języku angielskim). -
Długość klucza (w znakach). Każdy dostawca usług kryptograficznych obsługuje klucze kryptograficzne o różnej liczbie znaków. Skonfigurowanie klucza o większej liczbie znaków może zwiększyć bezpieczeństwo, utrudniając odszyfrowanie klucza złośliwemu użytkownikowi, ale może także spowolnić operacje kryptograficzne.
-
Wybierz algorytm wyznaczania wartości skrótu na potrzeby podpisywania certyfikatów wystawianych przez ten urząd certyfikacji. Algorytmy wyznaczania wartości skrótu służą do podpisywania certyfikatów urzędu certyfikacji i certyfikatów wystawianych przez urząd certyfikacji w celu zagwarantowania, że nie zostały zmodyfikowane. Każdy dostawca usług kryptograficznych może obsługiwać różne algorytmy wyznaczania wartości skrótu.
Uwaga Listę dostępnych algorytmów wyznaczania wartości skrótu można dodatkowo ograniczyć, konfigurując opcję DiscreteAlgorithm w pliku CAPolicy.inf instalowanym na komputerze przed rozpoczęciem instalacji urzędu certyfikacji.
-
Użyj funkcji silnej ochrony klucza prywatnego dostarczanych przez dostawcę usług kryptograficznych (może wymagać działania administratora w każdym przypadku uzyskiwania dostępu do klucza prywatnego przez urząd certyfikacji). Ta opcja może być używana do ochrony przed niezatwierdzonym użyciem urzędu certyfikacji i jego klucza prywatnego, ponieważ wymaga od administratora, aby przed każdą operacją kryptograficzną wprowadzał hasło.