Konfiguration af indstillinger for nøglepar og digitale certifikater
Hvis du vil kryptere kommunikation med en fjernenhed, skal der på forhånd bruges et usikret netværk til afsendelse og modtagelse af en krypteringsnøgle. Dette problem løses ved kryptografi med en offentlig nøgle. Kryptografi med offentlig nøgle sikrer sikker kommunikation ved at beskytte vigtige og værdifulde oplysninger mod angreb som f.eks. sniffing, spoofing og datamanipulation, når de føres igennem et netværk.
Nøglepar
 |
|
Et nøglepar består af en offentlig nøgle og en hemmelig nøgle, som begge kræves til kryptering eller dekryptering af data. Eftersom de data, der er blevet krypteret med et nøglepar, ikke kan returneres til deres oprindelige dataform uden den anden, giver kryptografi med en offentlig nøgle sikker datakommunikation via netværket. Der kan registreres op til otte nøglepar, inklusive de på forhånd installerede par, (Brug af nøglepar og digitale certifikater, der er udstedt af CA). Når det gælder krypteret TLS-kommunikation, kan der oprettes et nøglepar for maskinen (Generering af nøglepar).
|
CA-certifikat
 |
|
Digitale certifikater, herunder CA-certifikater, svarer til andre former for identifikation, f.eks. kørekort. Et digitalt certifikat indeholder en digital signatur, som sætter maskinen i stand til at registrere spoofing eller datamanipulation. Det er særdeles svært for tredjeparter at misbruge digitale certifikater. Et digitalt certifikat, som indeholder en offentlig nøgle fra en CA (certification authority), kaldes et CA-certifikat. CA-certifikater bruges til at bekræfte den enhed, maskinen kommunikerer med, med funktioner som udskrivning med Google Cloudprinter eller IEEE 802.1X-godkendelse. Der kan registreres op til 150 CA-certifikater, herunder de 72 certifikater, der er installeret på maskinen på forhånd (Brug af nøglepar og digitale certifikater, der er udstedt af CA).
|
Krav til nøgler og certifikater
Det certifikat, der er indeholdt i et nøglepar, der er oprettet med maskinen, er i overensstemmelse med X.509v3. Hvis du installerer et nøglepar eller et CA-certifikat fra en computer, skal du sørge for, at de overholder følgende krav:
|
Format
|
Nøglepar: PKCS#12*1
CA-certifikat:
X.509v1 DER (kodet binær) X.509v3 DER (kodet binær) |
|
Filtypenavn
|
Nøglepar: ".p12" eller ".pfx"
CA-certifikat: ".cer"
|
|
Algoritme for offentlig nøgle
(og nøglelængde) |
Nøglepar:
RSA (512 bit*2, 1024 bit, 2048 bit, 4096 bit) ECDSA (P256, P384, P521) CA-certifikat:
RSA (512 bit*2, 1024 bit, 2048 bit, 4096 bit) DSA (1024 bit/2048 bit/3072 bit) ECDSA (P256, P384, P521) |
|
Algoritme for certifikatsignatur
|
SHA1-RSA, SHA256-RSA, SHA384-RSA*3, SHA512-RSA*3, MD5-RSA, MD2-RSA, ECDSA-SHA1, ECDSA-SHA256, ECDSA-SHA384, eller ECDSA-SHA512
|
|
Algoritme for certifikatminiaturebillede
|
SHA1
|
|
*1 Kraven til det certifikat, der er indeholdt i et nøglepar, er i henhold til CA-certifikater.
*2 Ikke understøttet, hvis styresystemet for den enhed, som maskinen kommunikerer med, er Windows 8/10/Server 2012. Krypteret kommunikation kan også være utilgængelig med andre Windows-versioner afhængigt af programmets opdateringsstatus.
*3 SHA384-RSA og SHA512-RSA er kun tilgængeligt, hvis RSA-nøglelængden er 1024 bit eller mere.
|
|
 |
|
Maskinen understøtter ikke brugen af en CRL (certificate revocation list).
|