Konfiguration af indstillinger for nøglepar og digitale certifikater
Hvis du vil kryptere kommunikation med en fjernenhed, skal der på forhånd bruges et usikret netværk til afsendelse og modtagelse af en krypteringsnøgle. Dette problem løses ved kryptografi med en offentlig nøgle. Kryptografi med offentlig nøgle sikrer sikker kommunikation ved at beskytte værdifulde oplysninger mod angreb som f.eks. sniffing, spoofing og datamanipulation, når de føres igennem et netværk.
Nøglepar
|
|
Et nøglepar består af en offentlig nøgle og en hemmelig nøgle, som begge kræves til kryptering eller dekryptering af data. Eftersom krypteret data ikke kan dekrypteres uden den anden nøgle i nøgleparret, kan data udveksles sikkert. Der kan registreres op til tre nøglepar (Brug af nøglepar og digitale certifikater, der er udstedt af CA). Der kan også oprettes nøglepar af maskinen (Generering af nøglepar).
|
CA-certifikat
 |
Digitale certifikater inkluderer CA-certifikater, der mindre om andre former for identifikation, f.eks. et kørekort. Et digitalt certifikat indeholder en digital signatur, som gør det muligt for maskinen at registrere eventuel spoofing eller datamanipulation. Det er meget svært for tredjeparter at misbruge digitale certifikater. Digitale certifikater (herunder offentlige nøgler), der udstedes af en CA (certification authority), kaldes et CA-certifikat. Der kan registreres op til 10 CA-certifikater, herunder det certifikat, der er installeret på forhånd (Brug af nøglepar og digitale certifikater, der er udstedt af CA).
|
Driftsmæssige krav til nøgler og certifikater
Certifikater for nøglepar, der er oprettet med maskinen, skal være i overensstemmelse med X.509v3. Hvis du installerer et nøglepar eller et CA-certifikat fra en computer, skal du sørge for, at de overholder følgende krav:
|
Format
|
Nøglepar: PKCS#12*1
CA-certifikat: X.509v1 eller X.509v3, DER (kodet binær)
|
|
Filtypenavn
|
Nøglepar: ".p12" eller ".pfx"
CA-certifikat: ".cer"
|
|
Algoritme for offentlig nøgle
(og nøglelængde) |
RSA (512 bit*2, 1024, 2048 eller 4096 bit)
|
|
Algoritme for certifikatsignatur
|
SHA1-RSA, SHA256-RSA, SHA384-RSA*3,
SHA512-RSA*3, MD5-RSA, MD2-RSA |
|
Algoritme for certifikatminiaturebillede
|
SHA1
|
|
*1 Kravene til det certifikat, der er indeholdt i et nøglepar, skal være i henhold til de driftsmæssige krav for CA-certifikater.
*2 Ikke understøttet, hvis styresystemet for kommunikationspartnerens enhed er Windows 8/Server 2012. Afhængigt af anvendelsen af opdateringsprogrammer er krypteret kommunikation måske ikke mulig med andre versioner af Windows.
*3 SHA384-RSA og SHA512-RSA er kun tilgængelige, når RSA-nøglelængden er 1024 bit eller mere.
|
 |
|
Maskinen understøtter ikke brugen af en CRL (certificate revocation list).
|