《网络安全技术》课件第3章.pptVIP

RequestHandling选项卡也允许为证书模板定义多个用户输入设置。这些设置包括如下几点。(1)Enrollsubjectwithoutrequiringanyuserinput：该选项允许在没有任何用户交互的情况下进行自动注册，并且是计算机和用户证书的默认设置。注意：一定不能为计算机证书启用该选项。(2)Prompttheuserduringenrollment：尽管该选项在测试初始自动注册部署时很有用，但通常不启用。通过禁用该选项，用户不必为基于证书模板的证书的安装提供任何输入。(3)Prompttheuserduringenrollmentandrequireuserinputwhentheprivatekeyisused：该选项使用户能够在用户私钥已生成并且要求用户在无论任何时候使用证书和私钥都是该用户私钥时，在用户私钥上会设置一个强私钥保护密码。注意：一定不能为计算机证书或智能卡用户证书启用该选项。另外，对于Windows2000ServicePack4和WindowsXPServicePack1，可以通过注册表为所有CSP设置强密钥保护，可以给注册表中的“HKLM\Software\Policies\Microsoft\Cryptography”添加三个新的密钥：ForceKeyProtection，CachePrivateKeys，PrivateKeyLifetimeSeconds。有关更多信息，请参见以下知识库文章/default.aspx?scid=kb;en-us;320828。除了密钥存档设置外，还可以定义一些影响所有证书的常规选项(包括不启用密钥存档的选项)。(1)Minimumkeysize：指定为此证书生成的密钥的最小值(以比特为单位)。(2)Cryptographicserviceproviders：是一个用于为给定模板注册证书的加密服务提供商(CSP)列表。选择一个或多个CSP将该证书配置为仅可以使用这些CSP。如果没有选择特定的CSP，则该证书注册将应用于任何已经安装的CSP，并将使用列表中的第一个CSP。CSP必须安装在该CSP的客户端工作站上，以便在注册期间使用。如果选择了一个特定的CSP，但在客户机上不可用，注册将失败。3．SubjectName选项卡在建立证书模板时，必须定义接受方的名称。该名称包含在所颁发的证书模板中，并且必须惟一标识接受方。接受方名称可以在证书请求期间使用接受方的身份验证名称自动建立，也可以由接受方明确定义并包含在证书请求中，如图3.3所示。图3.3SubjectName选项卡接受方名称中包含许多选项。在证书请求过程中，根据ActiveDirectory信息建立接受方名称时，还包含特定配置的设置。接受方名称的格式可以定义为如下几种。(1)None：不为该字段强制定义任何名称格式。(2)Commonname：证书颁发机构通过从ActiveDirectory获得的请求方的公共名称(CN)来创建接受方名称。接受方名称在一个域内应该是惟一的，但在一个企业中可以并不惟一。(3)Fullydistinguishedname：证书颁发机构通过从ActiveDirectory获得的完全可区分名称创建接受方名称。这可以保证该名称在企业中是惟一的。此外，用户还可以选择在接受方名称中包括电子邮件名称。该信息从一个账户的电子邮件属性载入，并且包含在作为接受方名称一部分的公共名称或完全可区分名称中。除接受方名称外，用户也可以选择在所颁发证书的备用接受方名称中包含的名称格式。可用的备用接受方名称格式包括如下几种。(1)E-mailname：如果E-mailname字段被载入ActiveDirectory用户对象中，则该电子邮件名称将用于用户账户。注意：用户证书需要电子邮件名称。如果电子邮件名称未载入用户的ActiveDirectory中，则该用户的证书请求将失败。(2)DNSname：为计算机账户使用请求证书的接受方的完全限定域名(FQDN)。(3)Userprincipalname(UPN)：用户主体名称是ActiveDirectory用户对象的一部分，将用于用户账户。(4)Serviceprincipalname(SPN)：服务主体名称是ActiveDirectory计算机对象的一部分，将用于计算机账户。4．IssuanceRequirements