[處理要求] 索引標籤定義憑證範本的目的、支援的加密編譯服務提供者 (CSP)、最小金鑰長度、匯出性、自動註冊設定,以及是否需要增強式私密金鑰保護。
憑證目的
憑證目的定義憑證的主要預期使用方式,並且可以是下表描述的四個設定之一。
設定 | 目的 |
---|---|
加密 |
包含用於加密和解密的加密編譯金鑰。 |
簽章 |
只包含用於簽署資料的加密編譯金鑰。 |
簽章及加密 |
涵蓋憑證加密編譯金鑰的所有主要使用方式,包含資料加密、資料解密、初始登入,或數位簽署資料。 |
簽章與智慧卡登入 |
允許使用智慧卡進行初始登入以及數位簽署資料,但無法用於資料加密。 |
附註 | |
只有在憑證目的設為 [加密] 或 [簽章及加密] 時,才可進行金鑰保存。 |
封存設定
憑證授權單位 (CA) 可以在簽發憑證時,將主體金鑰封存於資料庫中。如果主體遺失金鑰,可以從資料庫擷取資訊並安全地提供給主體。
下表中的金鑰保存設定會定義於 [處理要求] 索引標籤中。
設定 | 目的 |
---|---|
封存主體的加密私密金鑰 |
如果發行的 CA 已針對金鑰保存而設定,就會封存主體的私密金鑰。 |
允許匯出私密金鑰 |
主體的私密金鑰可匯出至檔案以供備份或傳輸到其他電腦。 |
刪除已撤銷或過期的憑證 (不封存) |
如果憑證因為過期或撤銷而更新,先前發行的憑證會從主體憑證存放區中移除。根據預設值,不會啟用此選項,而且會封存憑證。 |
包含主體所允許的對稱演算法 |
當主體要求憑證時,主體可提供支援之對稱演算法的清單。此選項讓發行的 CA 在憑證中包含那些對稱演算法,即使伺服器不能辨識或支援這些演算法也沒關係。 |
使用者輸入設定
[處理要求] 索引標籤也可讓數個此表格中描述的使用者輸入設定,針對憑證範本加以定義。
設定 | 目的 |
---|---|
直接註冊主體,不需要使用者輸入 |
此選項允許自動註冊而不用任何使用者互動,並且是電腦及使用者憑證的預設設定。 |
註冊過程中提示使用者 |
停用此選項,使用者在安裝以憑證範本為基準的憑證時,就不需要輸入任何資訊。 |
註冊過程中提示使用者並在使用私密金鑰時要求使用者輸入 |
此選項可讓使用者在產生私密金鑰時,在使用者的金鑰上設定增強式私密金鑰保護密碼,並且要求使用者每回使用憑證和私密金鑰時都使用該保護密碼。 |
其他第 3 版要求處理設定
第 3 版憑證範本的 [處理要求] 索引標籤已更新,以提供 [加密編譯] 索引標籤上可用新選項以及其他變更的支援。這些選項列在下表中。
設定 | 目的 | ||||
---|---|---|---|---|---|
使用進階的對稱演算法傳送金鑰給 CA |
此選項可讓系統管理員選擇進階加密標準 (AES) 演算法,以便在私密金鑰傳輸至 CA 進行金鑰保存時加密。如果選取此選項,用戶端會使用 AES-256 對稱加密 (以及適用於非對稱加密的 CA 交換憑證),將私密金鑰傳送給 CA 以進行保存。如果未選取此選項,則會使用 3DES 對稱演算法。因為金鑰保存主要用於加密金鑰 (而非簽署金鑰),所以此選項只會在憑證目的設為 [加密] 時啟用。 | ||||
授權其他服務帳戶存取私密金鑰 |
此選項允許針對以任何第 3 版電腦憑證範本 (根 CA、次級 CA 或跨 CA 範本除外) 為基準的電腦憑證私密金鑰定義自訂存取控制清單 (ACL)。只有在預設權限沒有包含必須存取私密金鑰的服務帳戶時,才需要自訂 ACL。由 Microsoft 憑證註冊用戶端與軟體金鑰儲存提供者套用至私密金鑰的預設權限,其中包括 Administrators 群組與本機系統帳戶的「完全控制」權限。非 Microsoft 提供者可以套用不同的預設權限,但無法支援使用此選項所定義的自訂 ACL。請參閱提供者的文件以取得相關資訊。
|
如需與第 3 版憑證範本關聯之選項的相關資訊,請參閱加密編譯。
其他第 2 版要求處理設定
除了金鑰保存設定之外,您可以定義可影響所有以第 2 版憑證範本為基準之憑證的一般選項。這些選項列在下表中。
設定 | 目的 |
---|---|
最小金鑰大小 |
這會指定要對此憑證產生之金鑰的最小大小 (以位元表示)。 |
加密編譯服務提供者 |
這是加密編譯服務提供者 (CSP) 的清單,可用於註冊指定範本的憑證。選取一或多個 CSP 以設定僅適用於這些 CSP 的憑證。CSP 必須在註冊期間安裝在要使用 CSP 的用戶端電腦上。如果已選取特定 CSP 卻無法用於用戶端電腦上,註冊就會失敗。 |