“请求处理”选项卡定义了证书模板的用途、受支持的加密服务提供程序 (CSP)、最小密钥长度、可导出性、自动注册设置,以及是否需要强私钥保护。
证书用途
证书用途定义了证书的预期主要用途,而且可作为下表中介绍的四项设置之一。
设置 | 作用 |
---|---|
加密 |
包含用于加密和解密的加密密钥。 |
签名 |
包含仅用于签名数据的加密密钥。 |
签名和加密 |
涵盖证书的加密密钥的所有主要用途,包括数据加密、数据解密、初始登录或以数字方式签署数据。 |
签名和智能卡登录 |
允许使用智能卡进行初始登录,并以数字方式签署数据;但不能用于数据加密。 |
注意 | |
只用在将证书目的设置为“加密”或“签名和加密”时,才可以进行密钥存档。 |
存档设置
颁发证书时,证书颁发机构 (CA) 可以在其数据库中存档使用者的密钥。如果使用者丢失了其密钥,则系统会从该数据库中检索相应信息,并安全地提供给使用者。
下表中的密钥存档设置是在“请求处理”选项卡中定义的。
设置 | 作用 |
---|---|
存档使用者的加密私钥 |
如果针对密钥存档对颁发 CA 进行了配置,则系统将存档使用者的私钥。 |
允许导出私钥 |
可以将使用者的私钥导出到一个文件以进行备份,或传输到另一台计算机。 |
删除已吊销或已过期的证书(不存档) |
如果因过期或吊销而续订证书,则系统将从使用者的证书存储中删除以前颁发的证书。默认情况下,不启用此选项并会对证书进行存档。 |
包括使用者允许的对称算法 |
当使用者申请证书时,使用者可以提供受支持的对称算法的列表。使用此选项,颁发 CA 可以在该证书中包括这些算法,即使服务器没有识别或不支持它们。 |
用户输入设置
“请求处理”选项卡还允许为证书模板定义此表中介绍的多个用户输入设置。
设置 | 作用 |
---|---|
注册使用者时无需任何用户输入 |
此选项允许在无需任何用户交互的情况下自动进行注册,而且是计算机证书和用户证书的默认设置。 |
注册时提示用户 |
通过禁用此选项,用户不必为基于证书模板的证书安装提供任何输入。 |
注册期间会提示用户,并在使用私钥时要求用户输入 |
该选项使用户可以在生成私钥后对其设置强私钥保护密码,并且要求用户每次使用证书和私钥时都使用该私钥保护密码。 |
其他版本 3 请求处理设置
已更新了版本 3 证书模板的“请求处理”选项卡,从而对“加密”选项卡上可用的新选项以及其他更改提供支持。下表中列出了这些选项。
设置 | 作用 | ||||
---|---|---|---|---|---|
使用高级对称算法将密钥发送给 CA |
将私钥传输给 CA 进行密钥存档时,管理员可以使用此选项选择用于对私钥进行加密的高级加密标准 (AES) 算法。如果选择了此选项,则客户端将使用 AES-256 对称加密(以及 CA 的非对称加密交换证书),将私钥发送给 CA 进行存档。如果未选择此选项,将使用 3DES 对称算法。由于要对加密密钥(而不是签名密钥)应用密钥存档,因此只有在将证书用途设置为“加密”时才会启用此选项。 | ||||
授权其他服务帐户访问该私钥 |
使用此选项,可以针对基于任何版本 3 计算机证书模板(根 CA、从属 CA 或交叉 CA 模板除外)的计算机证书的私钥定义自定义访问控制列表 (ACL)。仅当默认权限不包括需要访问私钥的服务帐户时,才需要自定义 ACL。由 Microsoft 证书注册客户端和软件密钥存储提供程序应用到私钥的默认权限包含管理员组和本地系统帐户的完全控制权限。非 Microsoft 提供程序可能会应用不同的默认权限,并可能不支持使用此选项定义的自定义 ACL。有关详细信息,请参阅提供程序文档。
|
有关与版本 3 证书模板相关联的选项的详细信息,请参阅加密。
其他版本 2 请求处理设置
除了密钥存档设置以外,您还可以定义对基于版本 2 证书模板的所有证书产生影响的常规选项。下表中列出了这些选项。
设置 | 作用 |
---|---|
最小密钥大小 |
此选项指定了将为此证书生成的密钥的最小大小(以位数为单位)。 |
加密服务提供程序 |
这是将用于针对给定模板注册证书的加密服务提供程序 (CSP) 的列表。通过选择一个或多个 CSP,可以将证书配置为仅与这些 CSP 协同工作。若要在注册期间使用 CSP,必须在客户端计算机上安装该 CSP。如果选择特定的 CSP,而该 CSP 在客户端计算机上不可用,则注册将失败。 |