选择证书颁发机构 (CA) 的加密选项可以显著提高 CA 的安全性、性能和兼容性。尽管默认的加密选项可能适合大多数 CA,但对于非常了解加密并且需要此灵活性的管理员和应用程序开发人员,执行自定义选项的能力非常有用。可以通过使用加密服务提供程序 (CSP) 或密钥存储提供程序执行加密选项。

CSP 是 Windows 操作系统中提供常规加密功能的硬件和软件组件。可以编写 CSP 以提供各种加密和签名算法。

在运行 Windows Server 2008 R2、Windows Server 2008、Windows 7 或 Windows Vista 的计算机上,密钥存储提供程序可以提供强密钥保护。

在 CA 安装过程中的 “配置加密”页上,可以配置下列选项:

  • “选择加密服务提供程序”。Windows Server 2008 R2 和 Windows Server 2008 包含很多 CSP,并且可以添加其他 CSP 或密钥存储提供程序。在 Windows Server 2008 R2 和 Windows Server 2008 中,提供程序列表包括算法的名称。名称中带有符号 (#) 的所有提供程序都是“下一代加密技术 (CNG)”提供程序。CNG 提供程序可以支持多种非对称算法。而 CSP 只能执行一种算法。

    注意

    有关详细信息,请参阅“下一代加密技术”(https://go.microsoft.com/fwlink/?LinkID=85480)(可能为英文网页)。

  • “密钥字符长度”。每个 CSP 都支持不同字符长度的密钥。配置较长的密钥字符长度可以增强安全性(通过使恶意用户更难解密密钥),但同时也会降低加密操作的性能。

  • “选择用于对此 CA 颁发的证书进行签名的哈希算法”。哈希算法用于对 CA 证书和 CA 颁发的证书进行签名,以确保它们没有被篡改。每个 CSP 均可以支持不同的哈希算法。

    注意

    如果在开始安装 CA 之前,计算机上安装的 CAPolicy.inf 文件中已经配置了 DiscreteAlgorithm 选项,则可以进一步限制可用哈希算法的列表。

  • “使用由 CSP 提供的强私钥保护功能(可能每次 CA 访问私钥时都需要与管理员进行交互)”。通过要求管理员在每次加密操作之前输入密码,此选项可用于帮助阻止未经批准使用 CA 及其私钥。


目录