På fliken Hantering av begäranden anges syftet med en certifikatmall, kryptografiproviders som kan användas, minsta nyckellängd, möjlighet att exportera, inställningar för automatisk registrering samt huruvida det krävs starkt skydd av privat nyckel.

Certifikatsyfte

Certifikatsyftet anger det huvudsakliga avsedda användningsområdet för certifikatet och kan utgöras av någon av de fyra inställningar som beskrivs i följande tabell.

Inställning Syfte

Kryptering

Innehåller kryptografiska nycklar för kryptering och dekryptering.

Signatur

Innehåller kryptografiska nycklar för datasignering.

Signatur och kryptering

Täcker alla primära användningsområden för ett certifikats kryptografiska nyckel, som datakryptering, datadekryptering, första inloggning och digital datasignering.

Signatur och smartkortsinloggning

Tillåter första inloggning med ett smartkort och digital datasignering. Kan inte användas för datakryptering.


OBS

Nyckelarkivering kan endast utföras om certifikatsyftet är inställt på Kryptering eller Signatur och kryptering.

Arkivinställningar

Certifikatutfärdare kan arkivera ett ämnes nycklar i databasen när certifikatet utfärdas. Om ett ämne förlorar sina nycklar kan du hämta informationen i databasen och tillämpa det på ämnet.

Nyckelarkiveringsinställningarna i följande tabell definieras på fliken Hantering av begäranden.

Inställning Syfte

Arkivera ämnets privata krypteringsnyckel

Om den certifikatutfärdare som utfärdar certifikatet konfigureras för nyckelarkivering arkiveras ämnets privata nyckel.

Tillåt att den privata nyckeln exporteras

Ämnets privata nyckel kan exporteras till en fil för säkerhetskopiering eller överföring till en annan dator.

Ta bort återkallade eller upphörande certifikat (arkivera inte)

Om ett certifikat förnyas på grund av att det upphört eller återkallats tas det tidigare certifikatet bort ur ämnets certifikatarkiv. Som standard är inte detta alternativ aktiverat och certifikatet arkiveras.

Inkludera symmetriska algoritmer som tillåts av ämnet

När ämnet begär certifikatet kan en lista över tillåtna symmetriska algoritmer visas. Med hjälp av det här alternativet kan den certifikatutfärdare som utfärdar certifikatet inkludera de algoritmerna, även om servern inte använder dem.

Användarinställningar

På fliken Hantering av begäranden kan du även göra flera användarinställningar för certifikatmallen, som beskrivs i den här tabellen.

Inställning Syfte

Registrera ämnet utan att ställa frågor till användaren

Det här alternativet möjliggör automatisk registrering utan inblandning från användaren och detta är standardinställningen för både datorcertifikat och användarcertifikat.

Ställ frågor till användaren när registrering sker

Genom att välja bort det här alternativet slipper användaren delta i installationen av certifikat baserade på certifikatmall.

Fråga användaren under registrering och ställ fråga när den privata nyckeln används

Med hjälp av det här alternativet kan användaren ställa in ett starkt lösenord för den privata nyckeln när nyckeln genereras och användaren måste sedan använda det varje gång certifikatet och den privata nyckeln används.

Andra hanteringsinställningar för version 3

Fliken Hantering av begäranden för certifikatmallar i version 3 har uppdaterats med funktioner för de nya alternativ som finns på fliken Kryptografi och andra förändringar. Alternativen hittar du i följande lista.

Inställning Syfte

Använd en avancerad symmetrisk algoritm när nyckeln skickas till certifikatutfärdaren

Genom att välja det här alternativet kan administratören välja AES-algoritmen (Advanced Encryption Standard) för att kryptera privata nycklar när de överförs till certifikatutfärdaren för arkivering. Om du väljer det här alternativet använder klienten symmetrisk AES-256-kryptering (samt certifikatutfärdarens utbytescertifikat för asymmetrisk kryptering) när den privata nyckeln skickas till certifikatutfärdaren för arkivering. Om du inte väljer det här alternativet används symmetrisk 3DES-algoritm. Eftersom nyckelarkivering är avsedd för krypteringsnycklar (inte signeringsnycklar) aktiveras alternativet endast när certifikatsyftet är inställt på Kryptering.

Ge ytterligare tjänstekonton åtkomst till den privata nyckeln

Med det här alternativet kan en anpassad ACL (åtkomskontrollista) definieras i de privata nycklarna för datorcertifikat baserade på någon datorcertifikatmall av version 3, förutom rotcertifikatutfärdare, underordnad certifikatutfärdare och korscertifikatutfärdare. En anpassad ACL är bara nödvändig när ett tjänstekonto som kräver åtkomst till de privata nycklarna inte är inkluderat i standardbehörigheterna. Standardbehörigheterna som används för den privata nyckeln av Microsofts certifikatregistreringsklient och nyckellagringsprovider för program inkluderar behörigheten Full kontroll för gruppen Administratörer och det lokala systemkontot. Providers som inte är från Microsoft kan använda andra standardbehörigheter och stöder kanske inte anpassade ACL.er som definieras genom användande av det här alternativet. Mer information finns i dokumentationen för din provider.

OBS

Det här alternativet har ersatt alternativet Lägg till läsbehörighet för nätverkstjänsten för den privata nyckeln. Standardbehörigheterna i Windows Server 2008 R2 som används för den privata nyckeln för svarssignering av OCSP-certifikatmall inkluderar läsbehörighet för onlinesvarare och behörigheten Full kontroll för gruppen Administratörer och det lokala systemkontot.


Mer information om alternativ för certifikatmallar i version 3 finns i avsnittet Kryptografi.

Andra hanteringsinställningar för version 2

Förutom nyckelarkiveringsinställningar kan du definiera allmänna alternativ som påverkar alla certifikat baserade på certifikatmallar i version 2. Alternativen hittar du i följande lista.

Inställning Syfte

Minsta nyckelstorlek

Här anges den minsta antalet bitar som en nyckel får bestå av som ska genereras för certifikatet.

Kryptografiproviders

En lista över kryptografiproviders som används för att registrera certifikat för den angivna mallen. Genom att välja minst en kryptografiprovider konfigurerar du certifikatet så att det endast kan användas med dessa kryptografiproviders. En kryptografiprovider måste installeras på klientdatorn för att den ska kunna användas vid registreringen. Om du väljer en kryptografiprovider som inte finns på klientdatorn misslyckas registreringen.

Ytterligare referenser