Вкладка Обработка запроса определяет назначение шаблона сертификата, поддерживаемых поставщиков служб шифрования (CSP), минимальную длину ключа, возможность экспорта, параметры автоматической подачи заявок и обязательность усиленной защиты закрытого ключа.
Назначение сертификата
Назначение сертификата определяет предполагаемое основное использование сертификата и может быть одним из четырех параметров, описанных в следующей таблице.
Параметр | Назначение |
---|---|
Шифрование |
Содержит шифровальные ключи для шифрования и дешифрования. |
Подпись |
Содержит шифровальные ключи только для подписи данных. |
Подпись и шифрование |
Охватывает все основные применения шифровального ключа сертификата, включая шифрование данных, дешифрование данных, первоначальный вход в систему и цифровое подписывание данных. |
Подпись и вход со смарт-картой |
Разрешает первоначальный вход в систему с помощью смарт-карты и цифровую подпись данных. Нельзя использовать для шифрования данных. |
Примечание | |
Архивация ключа возможна только в том случае, если назначение сертификата - Шифрование или Подпись и шифрование. |
Параметры архивации
Центры сертификации (ЦС) могут архивировать ключи субъекта в своих базах данных при выдаче сертификатов. Если субъекты потеряют свои ключи, эти сведения можно извлечь из базы данных и безопасно предоставить этим субъектам.
Параметры архивации ключа, показанные в следующей таблице, задаются на вкладке Обработка запроса.
Параметр | Назначение |
---|---|
Архивировать закрытый ключ субъекта |
Если выдающий сертификаты ЦС настроен для архивации ключа, закрытый ключ субъекта будет архивирован. |
Разрешить экспортировать закрытый ключ |
Закрытый ключ субъекта можно экспортировать в файл для создания архивной копии или для передачи на другой компьютер. |
Удалять отозванные или просроченные сертификаты не архивируя |
Если сертификат обновляется из-за истечения срока или отзыва, ранее выданный сертификат удаляется из хранилища сертификатов субъекта. По умолчанию этот параметр выключен и сертификат архивируется. |
Включить симметричные алгоритмы, разрешенные субъектом |
Когда субъект запрашивает сертификат, он может подать список поддерживаемых симметричных алгоритмов. Эта возможность позволяет выдающему сертификаты ЦС включить эти алгоритмы в сертификат, даже если они не распознаются или не поддерживаются этим сервером. |
Параметры пользовательского ввода
Вкладка Обработка запроса также дает возможность определить для шаблона сертификата несколько параметров пользовательского ввода, описанных в этой таблице.
Параметр | Назначение |
---|---|
Подавать заявку для субъекта, не требуя ввода данных |
Этот параметр разрешает автоматическую подачу заявок без взаимодействия с пользователем и является параметром по умолчанию для сертификатов и компьютера и пользователя. |
Запрашивать пользователя во время подачи заявки |
Если этот параметр отключен, пользователям не требуется вводить данные при установке сертификата, основанного на шаблоне сертификата. |
Запрашивать пользователя и требовать ответа при использовании закрытого ключа |
Этот параметр дает возможность пользователю установить пароль усиленной защиты закрытого ключа на закрытый ключ пользователя при создании ключа и требует использовать его всякий раз, когда используется сертификат и закрытый ключ. |
Другие параметры обработки запроса версии 3
Вкладка Обработка запроса шаблонов сертификатов версии 3 обновлена для обеспечения поддержки новых параметров, имеющихся на вкладке Криптография, вместе с другими изменениями. Эти параметры перечислены в следующей таблице.
Параметр | Назначение | ||||
---|---|---|---|---|---|
Использовать расширенный симметричный алгоритм для отправки ключа в ЦС |
Этот параметр позволяет администратору выбрать алгоритм стандарта AES для шифрования закрытых ключей, когда они передаются в ЦС для архивации ключа. Если установлен этот параметр, клиент будет использовать симметричное шифрование AES-256 (наряду с сертификатом обмена ЦС для асимметричного шифрования), чтобы отправить закрытый ключ в ЦС для архивации. Если этот параметр не установлен, используется симметричный алгоритм 3DES. Поскольку архивация ключа предназначена для ключей шифрования (а не для ключей подписывания), этот параметр задействован, только если назначение сертификата установлено в Шифрование. |
||||
Авторизация дополнительных учетных записей служб для доступа к закрытому ключу |
Этот параметр позволяет задать настраиваемый список управления доступом (ACL) к закрытым ключам сертификатов компьютеров на основе любых шаблонов сертификатов компьютера версии 3 за исключением корневого ЦС, подчиненного ЦС и перекрестных шаблонов ЦС. Настраиваемый список управления доступом необходим в случае, если учетная запись службы, которой требуется доступ к закрытому ключу, не включена в разрешения по умолчанию. Разрешения по умолчанию, применяемые к закрытому ключу клиентом регистрации сертификатов Майкрософт и поставщиком хранилища программных ключей, включают разрешение «Полный доступ» для группы «Администраторы» и учетной записи «Local System». Сторонние поставщики могут применять различные разрешения по умолчанию и могут не поддерживать настраиваемые списки управления доступом, заданные с помощью этого параметра. Дополнительные сведения см. в документации поставщика.
|
Дополнительные сведения о параметрах, связанных с шаблонами сертификатов версии 3, см. в разделе Шифрование.
Другие параметры обработки запроса версии 2
Кроме параметров архивации ключа, можно определить общие параметры, влияющие на все сертификаты, основанные на шаблонах сертификатов версии 2. Эти параметры перечислены в следующей таблице.
Параметр | Назначение |
---|---|
Минимальный размер ключа |
Это указывает минимальный размер ключа (в битах), который будет создан для этого сертификата. |
Поставщик службы криптографии |
Это список поставщиков служб шифрования (CSP), который будет использоваться для заявок на сертификаты для данного шаблона. Выбор одного или нескольких CSP настраивает сертификат на работу только с этими CSP. Чтобы использовать CSP во время подачи заявки, CSP необходимо установить на компьютере клиента. Если выбран определенный CSP, не установленный на компьютере клиента, подача заявок не будет работать. |