Karta Obsługiwanie żądań służy do definiowania celu szablonu certyfikatu, obsługiwanych dostawców usług kryptograficznych (CSP), minimalnej długości klucza, możliwości eksportowania, ustawień autorejestrowania oraz tego, czy ma być wymagana silna ochrona klucza prywatnego.
Cel certyfikatu
Cel certyfikatu definiuje zamierzone podstawowe użycie certyfikatu i może mieć jedno z czterech ustawień opisanych w poniższej tabeli.
Ustawienie | Cel |
---|---|
Szyfrowanie |
Zawiera klucze szyfrowania do szyfrowania i odszyfrowywania. |
Podpis |
Zawiera klucze szyfrowania służące tylko do podpisywania danych. |
Podpis i szyfrowanie |
Obejmuje wszystkie podstawowe użycia klucza szyfrowania certyfikatu, w tym szyfrowanie danych, odszyfrowywanie danych, logowanie początkowe i cyfrowe podpisywanie danych. |
Podpis i logowanie karty inteligentnej |
Umożliwia logowanie początkowe za pomocą karty inteligentnej oraz cyfrowe podpisywanie danych; nie może być używane do szyfrowania danych. |
Uwaga | |
Archiwizacja kluczy jest możliwa tylko wtedy, gdy jako cel certyfikatu wybrano opcję Szyfrowanie lub Podpis i szyfrowanie. |
Ustawienia archiwizacji
Urzędy certyfikacji mogą archiwizować klucze podmiotu w swoich bazach danych podczas wystawiania certyfikatów. Jeśli podmiot straci swój klucz, można pobrać te informacje z bazy danych i bezpiecznie dostarczyć je podmiotowi.
Ustawienia archiwizacji kluczy opisane w poniższej tabeli są definiowane na karcie Obsługiwanie żądań.
Ustawienie | Zastosowanie |
---|---|
Archiwizuj klucz prywatny szyfrowania podmiotu |
Jeśli urząd certyfikacji wystawiania jest skonfigurowany do archiwizacji kluczy, klucz prywatny podmiotu zostanie zarchiwizowany. |
Zezwalaj na eksportowanie klucza prywatnego |
Klucz prywatny podmiotu można wyeksportować do pliku w celu utworzenia kopii zapasowej lub przeniesienia na inny komputer. |
Usuwanie odwołanych lub wygasłych certyfikatów (nie archiwizuj) |
Jeśli certyfikat zostanie odnowiony z powodu wygaśnięcia lub odwołania, wcześniej wystawiony certyfikat zostanie usunięty z magazynu certyfikatów podmiotu. Domyślnie ta opcja nie jest włączona i certyfikat jest zarchiwizowany. |
Dołącz algorytmy symetryczne dozwolone przez podmiot |
Gdy podmiot żąda certyfikatu, może dostarczyć listę obsługiwanych algorytmów symetrycznych. Dzięki tej opcji urząd certyfikacji wystawiania może dołączyć te algorytmy do certyfikatu, nawet jeśli nie są one rozpoznawane lub obsługiwane przez ten serwer. |
Ustawienia wprowadzane przez użytkownika
Karta Obsługiwanie żądań pozwala też określić kilka ustawień wprowadzanych przez użytkownika do zdefiniowania dla szablonu certyfikatu opisanych w tej tabeli.
Ustawienie | Zastosowanie |
---|---|
Zarejestruj podmiot, nie wymagając od użytkownika podania żadnych danych |
Te opcja umożliwia autorejestrowanie bez jakiejkolwiek interakcji użytkownika i jest domyślnym ustawieniem zarówno dla certyfikatów komputera, jak i dla certyfikatów użytkownika. |
Monituj użytkownika podczas rejestrowania |
Po wyłączeniu tej opcji użytkownicy nie muszą podawać żadnych danych dla instalacji certyfikatu opartego na szablonie certyfikatu. |
Monituj użytkownika podczas rejestrowania i wymagaj od użytkownika podania danych, gdy używany jest klucz prywatny |
Ta opcja pozwala użytkownikowi ustawić hasło silnej ochrony klucza prywatnego dla klucza prywatnego użytkownika podczas generowania tego klucza i wymaga, aby użytkownik używał tego hasła zawsze podczas korzystania z certyfikatu i klucza prywatnego. |
Pozostałe ustawienia obsługiwania żądań w wersji 3
Karta Obsługiwanie żądań dla szablonów certyfikatów w wersji 3 została zaktualizowana, aby zapewnić obsługę nowych opcji dostępnych na karcie Kryptografia oraz innych zmian. Te opcje są wyszczególnione w poniższej tabeli.
Ustawienie | Zastosowanie | ||||
---|---|---|---|---|---|
Używaj zaawansowanego algorytmu symetrycznego do wysyłania klucza do urzędu certyfikacji |
Dzięki tej opcji administrator może wybrać algorytm AES (Advanced Encryption Standard) do szyfrowania kluczy prywatnych podczas ich transferowania do urzędu certyfikacji na potrzeby archiwizacji kluczy. Jeśli ta opcja jest wybrana, klient będzie wysyłać klucz prywatny do urzędu certyfikacji na potrzeby archiwizacji za pomocą szyfrowania symetrycznego AES-256 (oraz za pomocą certyfikatu wymiany urzędu certyfikacji do szyfrowania asymetrycznego). Jeśli ta opcja nie jest wybrana, będzie używany algorytm symetryczny 3DES. Ponieważ archiwizacja kluczy jest przeznaczona do szyfrowania kluczy (a nie do ich podpisywania), ta opcja jest włączona tylko wtedy, gdy cel certyfikatu jest ustawiony na wartość Szyfrowanie. | ||||
Autoryzowanie dostępu do klucza prywatnego przez dodatkowe konta usług |
Ta opcja umożliwia określanie niestandardowych list kontroli dostępu (ACL) dla kluczy prywatnych certyfikatów komputerów na podstawie dowolnego szablonu certyfikatu komputera w wersji 3 z wyjątkiem głównego urzędu certyfikacji, podrzędnego urzędu certyfikacji i szablonów urzędów certyfikacji krzyżowej. Niestandardowa lista kontroli dostępu jest konieczna, tylko jeśli konto usługi wymagające dostępu do klucza prywatnego nie jest uwzględnione w uprawnieniach domyślnych. Uprawnienia domyślne stosowane do klucza prywatnego przez klienta rejestracji certyfikatów i programowego dostawcę magazynu kluczy firmy Microsoft zawierają uprawnienie Pełna kontrola dla grupy Administratorzy i konta System lokalny. Dostawcy inni niż firma Microsoft mogą stosować inne uprawnienia domyślne i mogą nie obsługiwać niestandardowych list kontroli dostępu określonych przy użyciu tej opcji. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją danego dostawcy.
|
Aby uzyskać więcej informacji na temat opcji skojarzonych z szablonami certyfikatów w wersji 3, zobacz temat Kryptografia.
Pozostałe ustawienia obsługiwania żądań w wersji 2
Oprócz ustawień archiwizowania kluczy można zdefiniować ogólne opcje, które wpływają na wszystkie certyfikaty oparte na szablonach certyfikatów w wersji 2. Te opcje są wyszczególnione w poniższej tabeli.
Ustawienie | Zastosowanie |
---|---|
Minimalny rozmiar klucza |
To ustawienie określa minimalny rozmiar (w bitach) klucza, który będzie generowany dla tego certyfikatu. |
Dostawcy usług kryptograficznych |
To jest lista dostawców usług kryptograficznych (CSP), za pomocą których będzie się odbywać rejestrowanie certyfikatów dla danego szablonu. Wybranie jednego lub kilku dostawców CSP powoduje skonfigurowanie certyfikatu w ten sposób, aby działał tylko z tymi dostawcami CSP. Dostawca CSP musi być zainstalowany na komputerze klienckim, aby był używany podczas rejestrowania. Jeśli jest wybrany określony dostawca CSP, który nie jest dostępny na komputerze klienckim, operacja rejestrowania nie powiedzie się. |