-
05-07-2019 - |
题
我已经分配的任务的购买数字证书的为我公司签署我们的代码。我们开发的应用程序,在微软空间的大多WPF或网络为基础的。
我已经调查了选择和发现科摩待以及定价和响应,我们准备继续前进,并购买的证书通过他们。。然而,在注册的形式有各种私人钥匙的选择我不太确定,即:
CSP
- Microsoft基本的密码提供者
- Microsoft基智能卡的密码提供者
- Microsoft增强了密码提供者v1。0
- Microsoft软件提供者的加密
关键尺寸
- 1024
- 2048
- 4096
出口?
- 是/否
用户受到保护?
- 是/否
只是想知道是什么所有的这个装置,以及什么是最好的选择是对我们的要求?任何意见/建议,将不胜感激
感谢堆 格雷格
解决方案
对于"多用途"的项目如下建议:
Microsoft基本的密码提供者 关键尺寸:2048 出口:是的 用户受到保护:是的
说实话,我不熟悉的不同社区支助项目,但基本不工作的每一个时间对我来说。
关键尺寸使键难以破解的,但是超过2048-位于短期和中期的关键(3-5年)充足的(恕我直言).
可出口可以让你出口的私人钥/证书对必要的支持。
用户的保护意味着必须输入密码,每当你想要使用的证书-强烈建议,以防止无意或有意签署码证书。
希望这会有所帮助。
其他提示
从历史上看,"基地"密码提供了一种人为的限制的密钥长度,以及"增强"供应商有限删除。这允许Microsoft遵守美国出口的法律,去除所增强供应商在某些版本。
显然,与该改变出口法》,微软已经消除的限制从基地提供程序,允许较长的密钥长度,以及(但有保留的名称兼容性)
关于"微软软件的密码提供者"的-我认为,应该"强"(不"软件")。
在实践中,我的工作,基给512位密钥的长度(而不再支持工作或在服务器之后,最近的一个补丁上读取KB2661254).你希望至少1024,但2048是一个更好的选择。
要注意:对可出口的私钥所需备份和/或带到另一个服务器(和所需的签署码/脚本我认为),但引入了possiblility它落入坏人之手,于是不希望的脚本可以签署和跑在你的服务器一旦你相信cert!采取非常谨慎,在何处/如何储存和使用一个强大的通行密码!
双检查:你很可能需要的信任的根CA Cert(CA颁发的代码签字证书)安装以及你的证书本身中的"可信任的出版商",以获得签署PowerShell脚本运行。