Exporteren (0) Afdrukken
Alles uitvouwen
Dit onderwerp heeft nog geen beoordeling - Dit onderwerp beoordelen

Afhandeling van aanvragen

Van toepassing op: Windows Server 2008 R2

Op het tabblad Afhandeling van aanvragen wordt de volgende informatie gedefinieerd: het doel van een certificaatsjabloon; de ondersteunde CSP's (cryptographic service providers); minimumsleutellengte; exporteerbaarheid; instellingen voor automatische inschrijving; en of sterke bescherming van persoonlijke sleutels moet worden vereist.

Doel van certificaat

Het doel van het certificaat geeft het beoogde primaire doel van het certificaat aan en kan een van vier instellingen zijn, zoals in de volgende tabel wordt beschreven.

 

Instelling Doeleinde

Versleuteling

Bevat cryptografische sleutels voor versleuteling en ontsleuteling.

Handtekening

Bevat cryptografische sleutels die alleen zijn bedoeld voor het ondertekenen van gegevens.

Handtekening en versleuteling

Hiermee worden alle primaire doeleinden van de cryptografische sleutel van een certificaat beschreven, waaronder versleuteling en ontsleuteling van gegevens, eerste aanmelding of het digitaal ondertekenen van gegevens.

Aanmelding met handtekening en smartcard

Met deze optie wordt een eerste aanmelding met een smartcard mogelijk gemaakt en kunnen gegevens digitaal worden ondertekend. Deze optie kan niet worden gebruikt voor gegevensversleuteling.


noteOpmerking
Sleutelarchivering is alleen mogelijk als het certificaatdoel is ingesteld op Versleuteling of Handtekening en versleuteling.

Archiefinstellingen

CA's (certificeringsinstanties) van kunnen de sleutels van een certificaathouder in hun database archiveren wanneer certificaten worden uitgegeven. Als een certificaathouder zijn of haar sleutels verliest, kunnen de gegevens uit de database worden opgehaald en op veilige wijze aan de certificaathouder worden verstrekt.

De instellingen voor sleutelarchivering in de volgende tabel worden gedefinieerd op het tabblad Afhandeling van aanvragen.

 

Instelling Doeleinde

Persoonlijke versleutelingssleutel van de houder archiveren

Als de uitgevende CA is geconfigureerd voor sleutelarchivering, wordt de persoonlijke sleutel van de certificaathouder gearchiveerd.

De persoonlijke sleutel exporteerbaar maken

De persoonlijke sleutel van de certificaathouder kan naar een bestand worden geëxporteerd voor back-up of voor overdracht naar een andere computer.

Ingetrokken en verlopen certificaten verwijderen (niet archiveren)

Als een certificaat wordt vernieuwd omdat het is verlopen of ingetrokken, wordt het voorgaande certificaat verwijderd uit het certificaatarchief van de certificaathouder. Deze optie is standaard niet ingeschakeld en het certificaat wordt gearchiveerd.

Symmetrische algoritmen die het object toestaat opnemen

Wanneer de certificaathouder het certificaat aanvraagt, kan de houder een lijst met ondersteunde symmetrische algoritmen opgeven. Dankzij deze optie kan de uitgevende CA deze algoritmen in het certificaat opnemen, zelfs als ze niet door die server worden herkend of ondersteund.

Instellingen voor gebruikersinvoer

Op het tabblad Afhandeling van aanvragen kunnen ook verschillende instellingen voor gebruikersinvoer voor een certificaatsjabloon worden gedefinieerd. Deze instellingen worden in de volgende tabel beschreven.

 

Instelling Doeleinde

Houder zonder gebruikersinvoer inschrijven

Met deze optie kan er automatisch worden ingeschreven zonder gebruikersinteractie. Dit is de standaardinstelling voor computer- en gebruikerscertificaten.

De gebruiker om invoer vragen tijdens het inschrijven

Wanneer u deze optie uitschakelt, is er geen gebruikersinvoer vereist voor de installatie van een certificaat dat op de certificaatsjabloon is gebaseerd.

De gebruiker om invoer vragen tijdens het inschrijven en wanneer de persoonlijke sleutel wordt gebruikt

Met deze optie kan de gebruiker tijdens generatie van de persoonlijke sleutel van een gebruiker een sterk wachtwoord instellen ter bescherming, en moet de gebruiker het wachtwoord gebruiken wanneer het certificaat en de persoonlijke sleutel worden gebruikt.

Andere instellingen voor het verwerken van aanvragen van versie 3

Het tabblad Afhandeling van aanvragen voor certificaatsjabloonversie 3 is bijgewerkt met ondersteuning voor de nieuwe opties die beschikbaar zijn op het tabblad Cryptografie, evenals met andere wijzigingen. De opties worden in de volgende tabel weergegeven.

 

Instelling Doeleinde

Geavanceerde symmetrische algoritme gebruiken om de sleutel naar de CA te verzenden

Met deze optie kan de beheerder de AES-algoritme (Advanced Encryption Standard) kiezen om persoonlijke sleutels bij overdracht naar de CA voor sleutelarchivering te versleutelen. Als deze optie is geselecteerd, gebruikt de client symmetrische AES-256-versleuteling (evenals het uitwisselingscertificaat van de CA voor asymmetrische versleuteling) om de persoonlijke sleutel naar de CA te sturen voor archivering. Als deze optie niet is ingesteld, wordt de symmetrische 3DES-algoritme gebruikt. Aangezien sleutelarchivering is bedoeld voor versleuteling, en niet ondertekening, van sleutels, wordt deze optie alleen ingeschakeld wanneer het certificaatdoel is ingesteld op Versleuteling.

Extra serviceaccounts toegang verlenen tot de persoonlijke sleutel

Met deze optie kan een aangepaste toegangsbeheerlijst (ACL) worden gedefinieerd op de persoonlijke sleutels van computercertificaten die zijn gebaseerd op een computercertificaatsjabloon van versie 3, met uitzondering van sjablonen voor basis-CA's, onderliggende CA's en kruis-CA's. Een aangepaste ACL is alleen nodig wanneer een serviceaccount dat toegang tot de persoonlijke sleutel moet hebben, niet is opgenomen in de standaardmachtigingen. Tot de standaardmachtigingen die op de persoonlijke sleutel worden toegepast door de Microsoft-certificaatinschrijvingsclient en softwaresleutelarchiefprovider behoren de machtiging Volledig beheer voor de groep Administrators en de lokale systeemaccount. Niet-Microsoft-providers kunnen andere standaardmachtigingen toepassen en bieden mogelijk geen ondersteuning voor aangepaste ACL's die zijn gedefinieerd met deze optie. Raadpleeg de documentatie van uw provider voor meer informatie.

noteOpmerking
Deze optie vervangt de optie Leesmachtigingen toevoegen aan Netwerkservice voor de persoonlijke sleutel. In Windows Server 2008 R2 behoren de machtiging Lezen voor de online-responderserviceaccount en de machtiging Volledig beheer voor de groep Administrators en de lokale systeemaccount tot de standaardmachtigingen die worden toegepast op de persoonlijke sleutel van certificaten OCSP-antwoord ondertekenen.


Zie Cryptografie voor meer informatie over opties voor certificaatsjabloonversie 3.

Andere instellingen voor het verwerken van aanvragen van versie 2

Naast de instellingen voor sleutelarchivering kunt u algemene opties definiëren die van invloed zijn op alle certificaten die zijn gebaseerd op certificaatsjabloonversie 2. De opties worden in de volgende tabel weergegeven.

 

Instelling Doeleinde

Minimale sleutelgrootte

Hiermee wordt de minimumgrootte, in bits, van de sleutel weergegeven die voor dit certificaat wordt gegenereerd.

Cryptografieproviders

Dit is een lijst met CSP's (cryptografieserviceproviders) die worden gebruikt om certificaten in te schrijven voor de opgegeven sjabloon. Wanneer u een of meer CPS's selecteert, configureert u het certificaat om alleen met die CSP's te werken. De CSP moet op de clientcomputer zijn geïnstalleerd als u de CPS tijdens inschrijving wilt gebruiken. Als u een specifieke CSP kiest die niet beschikbaar is op de clientcomputer, zal de inschrijving mislukken.

Aanvullende naslaginformatie

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft. Alle rechten voorbehouden.