Exportovat (0) Tisk
Rozbalit vše

Vyřízení žádosti

Rozsah platnosti: Windows Server 2008 R2

Karta Vyřízení žádosti definuje účel šablony certifikátu, podporované zprostředkovatele kryptografických služeb (CSP), minimální délku klíče, exportovatelnost, nastavení automatického zápisu a určuje, zda má být požadována silná ochrana privátním klíčem.

Účel certifikátu

Účel certifikátu definuje zamýšlené primární použití certifikátu. Může být nastaven na jedno ze čtyř nastavení, jak popisuje následující tabulka.

 

Nastavení Účel

Šifrování

Obsahuje kryptografické klíče pro šifrování a dešifrování.

Podpis

Obsahuje kryptografické klíče pouze pro podepisování dat.

Podpis a šifrování

Pokrývá všechna primární použití kryptografického klíče certifikátu, včetně šifrování dat, dešifrování dat, počátečního přihlášení nebo digitálního podepisování dat.

Podpis a přihlašování pomocí čipové karty

Umožňuje počáteční přihlášení pomocí čipové karty a digitální podepisování dat, nelze použít pro šifrování dat.


notePoznámka
Archivace klíčů je možná, jen když je účel certifikátu nastaven na možnost Šifrování nebo Podpis a šifrování.

Nastavení archivu

Certifikační autority (CA) mohou při vystavování certifikátů archivovat klíče subjektu. Ztratí-li subjekt své klíče, mohou být tyto informace načteny z databáze a bezpečně poskytnuty subjektům.

Nastavení archivace klíčů v následující tabulce je definováno na kartě Vyřízení žádosti.

 

Nastavení Účel

Archivace privátního šifrovacího klíče subjektu

Je-li vystavující CA nakonfigurována pro archivaci klíčů, privátní klíč subjektu bude archivován.

Umožnění exportu privátního klíče

Privátní klíč subjektu lze exportovat do souboru za účelem zálohování nebo přenosu do jiného počítače.

Odstranění odvolaných certifikátů nebo certifikátů, jejichž platnost vypršela (nearchivovat)

Je-li certifikát obnovován v důsledku vypršení platnosti nebo odvolání, dříve vystavený certifikát je odebrán z úložiště certifikátů subjektu. Ve výchozím nastavení není tato možnost povolena a daný certifikát je archivován.

Zahrnutí symetrických algoritmů povolených subjektem.

Když subjekt žádá o certifikát, může dodat seznam podporovaných symetrických algoritmů. Tato možnost umožňuje vystavující CA zahrnout tyto algoritmy do certifikátu, i když nejsou tímto serverem rozpoznány nebo podporovány.

Nastavení vstupu uživatele

Karta Vyřízení žádosti také umožňuje definovat pro šablonu certifikátu několik nastavení vstupu uživatele popsaných v této tabulce.

 

Nastavení Účel

Zapsat subjekt bez vyžadování vstupu uživatele

Tato možnost umožňuje automatický zápis bez jakékoliv interakce s uživatelem a je výchozím nastavením pro počítač i certifikáty uživatele.

Dotázat se uživatele během zápisu

Pokud uživatel tuto možnost nepovolí, nemusí pro instalaci certifikátu založeného na šabloně nic zadávat.

Dotázat se uživatele během zápisu a vyžadovat vstup uživatele při použití privátního klíče

Tato možnost umožňuje uživateli nastavit silné heslo pro ochranu privátním klíčem při jeho generování a požaduje na uživateli jeho použití při každém použití certifikátu a privátního klíče.

Ostatní nastavení pro vyřízení žádosti verze 3

Karta Vyřízení žádosti pro šablony certifikátů verze 3 byla aktualizována tak, aby podporovala nové možnosti dostupné na kartě Kryptografie spolu s jinými změnami. Možnosti jsou uvedeny v následující tabulce.

 

Nastavení Účel

Použití pokročilých symetrických algoritmů k odeslání klíče certifikační autoritě

Tato možnost správci umožňuje vybrat algoritmus AES (Advanced Encryption Standard) pro šifrování privátních klíčů při jejich přenosu k certifikační autoritě za účelem archivace klíče. Je-li zvolena tato možnost, klient použije symetrické šifrování AES-256 (spolu s výměnným certifikátem CA pro asymetrické šifrování) za účelem odeslání privátního klíče certifikační autoritě k archivaci. Pokud tato možnost není zvolena, používá se symetrický algoritmus 3DES. Protože archivace klíčů je určena pro šifrovací klíče (nikoliv podpisové klíče), je tato možnost povolena, jen když je účel certifikátu nastaven na Šifrování.

Autorizovat další účty služeb pro přístup k privátnímu klíči

Tato možnost povoluje definování vlastního seznamu řízení přístupu (ACL) u privátních klíčů certifikátů počítačů založených na libovolné šabloně certifikátu počítače verze 3 s výjimkou šablon kořenové certifikační autority, podřízené certifikační autority nebo křížové certifikační autority. Vlastní seznam ACL je nezbytný pouze v případě, že účet služby vyžadující přístup k privátnímu klíči není zahrnut do výchozích oprávnění. Výchozí oprávnění použitá pro privátní klíč klientem zápisu certifikátu a zprostředkovatelem úložiště softwarových klíčů společnosti Microsoft zahrnují oprávnění k úplnému řízení pro skupinu Administrators a místní systémový účet. Zprostředkovatelé nepocházející od společnosti Microsoft mohou používat jiná výchozí oprávnění a nemusí podporovat vlastní seznamy ACL, jež jsou definovány pomocí této možnosti. Další informace naleznete v dokumentaci k zprostředkovateli.

notePoznámka
Tato možnost nahrazuje možnost Přidat oprávnění ke čtení do síťové služby na privátním klíči. V systému Windows Server 2008 R2 výchozí oprávnění použitá pro privátní klíč certifikátů Podepisování odpovědí protokolu OCSP zahrnují oprávnění ke čtení pro účet Služby online respondéru a oprávnění k úplnému řízení pro skupinu Administrators a místní systémový účet.


Další informace o možnostech souvisejících s šablonami certifikátů verze 3 naleznete v části Kryptografie.

Ostatní nastavení vyřízení žádosti verze 2

Mimo nastavení archivace klíčů lze definovat všeobecné možnosti ovlivňující všechny certifikáty založené na šablonách certifikátů verze 2. Možnosti jsou uvedeny v následující tabulce.

 

Nastavení Účel

Minimální délka klíče.

Určuje minimální délku v bitech pro klíč, který bude generován pro tento certifikát.

Zprostředkovatelé kryptografických služeb

Seznam zprostředkovatelů kryptografických služeb (CPS), který bude použit k zápisu certifikátů pro danou šablonu. Výběrem jednoho nebo několika CPS se certifikát nakonfiguruje tak, že pracuje jen s těmito CPS. Zprostředkovatel CPS, který má být použit během zápisu, musí být nainstalován na počítači klienta. Jestliže je vybrán určitý CPS, který není dostupný na počítači klienta, zápis se nezdaří.

Byl tento obsah pro vás užitečný?
(Zbývající počet znaků: 1500)
Děkujeme za váš názor.

Obsah vytvořený komunitou

Zobrazit:
© 2014 Microsoft