Иногда требуется выполнить цифровое подписывание запросов сертификата с помощью действительного сертификата агента регистрации или сертификата подписи, прежде чем запросы будут обработаны центром сертификации.

Важно!

Наличие сертификата агента регистрации позволяет подавать заявки на получение сертификатов и создавать смарт-карты от имени любого пользователя в составе организации. Полученная таким образом смарт-карта может затем использоваться для входа в сеть под именем пользователя без его ведома. Поскольку сертификат «Агент регистрации» предоставляет широкие возможности, настоятельно рекомендуется придерживаться в организации строгих политик безопасности для этих сертификатов.

Для снижения риска злоупотребления сертификатом «Агент регистрации» можно создать в организации один подчиненный ЦС, находящийся под строжайшим административным контролем, и использовать его только для выдачи сертификатов «Агент регистрации». После выдачи первых сертификатов «Агент регистрации» администратор ЦС может отключить выдачу сертификатов «Агент регистрации» до тех пор, пока в них опять не возникнет необходимость.

Ограничив круг администраторов, имеющих право работать со службой ЦС на подчиненном ЦС, можно оставить службу в интерактивном режиме для создания и распространения списков отзыва сертификатов (CRL) в случае необходимости.

Другие ЦС в иерархии также могут выдавать сертификаты агента регистрации в случае изменения параметров политики, но выдачу несоответствующих сертификатов агента регистрации можно обнаружить при регулярной проверке журналов выданных сертификатов для каждого ЦС.

Дополнительные источники информации