Выбор параметров шифрования центра сертификации имеет большое значение для безопасности, производительности и совместимости центра сертификации. Несмотря на то, что параметры шифрования по умолчанию могут подходить для большинства центров сертификации, возможность использования настраиваемых параметров может пригодиться администраторам и разработчикам программного обеспечения, которые имеют хорошее представление о шифровании и нуждаются в подобной гибкости. Параметры шифрования могут быть внедрены с помощью поставщиков служб шифрования или поставщиков хранилища ключей.
Поставщики служб шифрования – это аппаратные или программные компоненты операционных систем семейства Windows, которые предоставляют общие функции шифрования. Эти поставщики могут быть созданы для обеспечения различных алгоритмов шифрования и подписи.
Поставщики хранилища ключей обеспечивают надежную защиту ключей на компьютерах, работающих под управлением операционной системы Windows Server 2008 R2, Windows Server 2008, Windows 7 или Windows Vista.
При установке центра сертификации на странице Настройка криптографии можно настроить указанные ниже параметры:
-
Выберите поставщика служб шифрования. В системы Windows Server 2008 R2 и Windows Server 2008 включены несколько поставщиков служб шифрования; можно также добавить дополнительных поставщиков служб шифрования или поставщиков хранилища ключей. В Windows Server 2008 R2 и Windows Server 2008 список поставщиков содержит и названия алгоритмов. Все поставщики со значком номера (#), содержащемся в имени, являются поставщиками шифрования CNG (Cryptography Next Generation). Поставщики шифрования CNG могут поддерживать несколько ассиметричных алгоритмов. Обычные поставщики служб шифрования могут использовать только один алгоритм.
Примечание Дополнительные сведения см. на веб-сайте, посвященном шифрованию CNG (
https://go.microsoft.com/fwlink/?LinkID=85480 ) (может быть на английском языке). -
Длина ключа (знаков). Каждый поставщик служб шифрования предоставляет разную символьную длину ключей шифрования. Задание более длинной символьной строки ключа может повысить уровень безопасности, так как злоумышленнику будет сложнее расшифровать ключ, но это может и замедлить производительность операций шифрования.
-
Выберите алгоритм хеширования для подписывания сертификатов, выдаваемых этим ЦС. Алгоритмы хеширования используются для подписи сертификатов центра сертификации и сертификатов, выданных центром сертификации, чтобы убедиться в невозможности изменения этих сертификатов. Каждый поставщик служб шифрования может поддерживать различные алгоритмы хеширования.
Примечание Список доступных алгоритмов хеширования можно еще больше ограничить, если настроить параметр DiscreteAlgorithm в файле CAPolicy.inf, установленном на компьютере перед началом установки центра сертификации.
-
Применять усиленную защиту закрытого ключа, предоставляемую поставщиком служб шифрования (участие администратора может потребоваться при каждом обращении центра сертификации к закрытому ключу). Этот параметр поможет предотвратить несанкционированное использование центра сертификации и его закрытого ключа, требуя ввести пароль администратора перед каждой операцией шифрования.