O separador Processamento de Pedidos define o objectivo de um modelo de certificado, os fornecedores de serviços de criptografia (CSPs) suportados, comprimento mínimo da chave, capacidade de exportação, definições de inscrição automática e se deverá ser solicitada uma protecção forte por chave privada.

Objectivo do certificado

O objectivo do certificado define a utilização principal a que se destina o certificado e pode ser uma de quatro definições como descrito na seguinte tabela.

Definição Finalidade

Encriptação

Contém chaves criptográficas para encriptação e desencriptação.

Assinatura

Contém chaves criptográficas apenas para assinatura de dados.

Assinatura e encriptação

Abrange todas as utilizações principais de uma chave criptográfica de um certificado, incluindo encriptação e desencriptação de dados, início de sessão ou assinatura de dados digitalmente.

Assinatura e início de sessão de smart card

Permite o início de sessão através de um smart card e assinar digitalmente dados; esta opção não pode ser utilizada para encriptação de dados.


Nota

Só poderá ter um arquivo de chaves se o objectivo do certificado estiver definido como Encriptação ou Assinatura e encriptação.

Definições de arquivo

As autoridades de certificação (ACs) podem arquivar chaves de requerentes nas bases de dados deles quando os certificados são emitidos. Se os requerentes perderem as chaves, as informações poderão ser obtidas a partir da base de dados e fornecidas de forma segura aos requerentes.

As definições do arquivo de chaves na seguinte tabela são definidas no separador Processamento de Pedidos.

Definição Objectivo

Arquivar chave privada de encriptação do requerente

Se a AC de emissão estiver configurada para arquivo de chaves, a chave privada do requerente será arquivada.

Permitir que a chave privada seja exportada

A chave privada do requerente pode ser exportada para um ficheiro de cópia de segurança ou transferida para outro computador.

Eliminar certificados revogados ou expirados (não arquivar)

Se um certificado for renovado devido a expiração ou revogação, o certificado emitido previamente será removido do arquivo de certificados do requerente. Por predefinição, esta opção não está activada e o certificado é arquivado.

Incluir algoritmos simétricos permitidos pelo requerente

Quando o requerente pede o certificado, pode fornecer uma lista de algoritmos simétricos suportados. Esta opção permite que a AC de emissão inclua esses algoritmos no certificado, mesmo que não sejam reconhecidos ou suportados pelo servidor.

Definições introduzidas pelo utilizador

O separador Processamento de Pedidos também permite que várias definições de entrada do utilizador descritas nesta tabela sejam configuradas para um modelo de certificado.

Definição Objectivo

Inscrever indivíduo sem exigir qualquer intervenção do utilizador

Esta opção permite a inscrição automática sem qualquer interacção do utilizador e é a predefinição para os certificados do computador e do utilizador.

Perguntar ao utilizador durante a inscrição

Ao desactivar esta opção, não é necessária qualquer intervenção dos utilizadores para a instalação de um certificado baseado no modelo de certificado.

Perguntar ao utilizador durante a inscrição e exigir intervenção do utilizador quando a chave privada é utilizada

Esta opção permite que o utilizador defina uma palavra-passe de protecção forte por chave privada na chave privada do utilizador, quando a chave é gerada, e exige a utilização da mesma sempre que o certificado e a chave privada forem utilizados.

Outras definições de processamento de pedidos versão 3

O separador Processamento de Pedidos para modelos de certificados versão 3 foi actualizado para fornecer suporte para as novas opções disponíveis no separador Criptografia, bem como para outras alterações. As opções são apresentadas na seguinte tabela.

Definição Objectivo

Utilizar o algoritmo Assimétrico avançado para enviar a chave para a AC

Esta opção permite que o administrador escolha o algoritmo AES (Advanced Encryption Standard) para encriptar chaves privadas enquanto estas são transferidas para o arquivo de chaves da AC. Se esta opção estiver seleccionada, o cliente utilizará a encriptação simétrica AES-256 (em conjunto com o certificado de troca da AC para encriptação assimétrica) para enviar a chave privada para o arquivo da AC. Se esta opção não estiver seleccionada, é utilizado o algoritmo simétrico 3DES. Uma vez que o arquivo de chaves se destina a chaves de encriptação (e não a chaves de assinatura), esta opção só é activada quando o objectivo do certificado está definido como Encriptação.

Autorizar acesso de contas de serviço adicionais à chave privada

Esta opção permite que uma lista de controlo de acesso (ACL) personalizada seja definida nas chaves privadas dos certificados de computador com base em qualquer modelo de certificado de computador de versão 3, excepto os modelos de AC de raiz, AC subordinada ou AC de validade múltipla. Uma ACL personalizada é necessária apenas quando uma conta de serviço que requer acesso à chave privada não está incluída nas permissões predefinidas. As permissões predefinidas aplicadas à chave privada pelo cliente de inscrição de certificados Microsoft e pelo fornecedor de armazenamento de chaves de software incluem a permissão Controlo Total para o grupo Administradores e a conta Sistema Local. Os fornecedores não Microsoft podem aplicar permissões predefinidas diferentes e podem não suportar as ACLs personalizadas definidas através desta opção. Consulte a documentação relativa ao fornecedor para obter mais informações.

Nota

Esta opção substituiu a opção Adicionar permissões de leitura ao Serviço de Rede na chave privada. No Windows Server 2008 R2, as permissões predefinidas aplicadas à chave privada dos certificados de Assinatura de Resposta OCSP incluem a permissão Ler para a conta do serviço de Dispositivo de Resposta Online e a permissão Controlo Total para o grupo Administradores e a conta do Sistema Local.


Para mais informações sobre opções associadas a modelos de certificados versão 3, consulte Criptografia.

Outras definições de processamento de pedidos versão 2

Além das definições de arquivo de chaves, pode definir opções gerais que afectem todos os certificados baseados nos modelos de certificados versão 2. As opções são apresentadas na seguinte tabela.

Definição Objectivo

Tamanho mínimo da chave

Esta opção especifica o tamanho mínimo, em bits, da chave que será gerada para este certificado.

Fornecedores de serviços de criptografia

Esta é uma lista dos fornecedores de serviços de criptografia (CSPs) que serão utilizados para inscrever certificados para o modelo fornecido. Ao seleccionar um ou mais CSPs configura o certificado para funcionar apenas com esses CSPs. O CSP tem de estar instalado no computador de cliente para que o CSP seja utilizado durante a inscrição. Se for escolhido um CSP específico e não estiver disponível num computador de cliente, a inscrição falhará.

Referências adicionais