Агент регистрации - это пользователь, который может зарегистрировать сертификат от имени другого клиента. В отличие от диспетчера сертификатов агент регистрации может работать только с запросом на регистрацию и не может утверждать отложенные запросы или отзывать выданные сертификаты.

В системе Windows Server 2008 R2 имеется три шаблона сертификатов, разрешающих использовать различные типы агентов регистрации.

  • Агент регистрации. Используется для запроса сертификатов от имени другого субъекта.

  • Агент регистрации (компьютер). Используется для запроса сертификатов от имени другого субъекта компьютера.

  • Агент регистрации обмена (запрос вне сети). Используется для запроса сертификатов от имени другого субъекта и включения имени субъекта в запрос. Этот шаблон используется службой регистрации сетевых устройств для сертификата соответствующего агента регистрации.

При создании агента регистрации можно с помощью группы и шаблона сертификатов уточнить возможность агента регистрировать сертификаты от имени других объектов. Например, может потребоваться ограничить агента регистрации возможностью подавать заявки только на сертификаты входа в систему с помощью смарт-карт для пользователей из конкретного офиса или подразделения, являющихся основой группы безопасности.

Это ограничение основано на подмножестве шаблонов сертификатов, разрешенном для центра сертификации, и группах пользователей, обладающих разрешениями на регистрацию для этого шаблона сертификата из этого центра сертификации.

Важно!

Ограничения для агентов регистрации можно использовать только в центрах сертификации на основе Windows Server 2008. Соответствующим образом может быть настроена и политика агента регистрации.

Чтобы выполнить эту процедуру, необходимо быть администратором центра сертификации или членом группы Администраторы предприятия, либо обладать эквивалентными правами. Для получения дополнительных сведений см. Реализация ролевого администрирования.

Настройка агента регистрации для центра сертификации

  1. Откройте оснастку "Центр сертификации", щелкните правой кнопкой мыши имя центра сертификации, а затем выберите команду Свойства.

  2. Выберите вкладку Агенты регистрации, щелкните Ограничивать агенты регистрации и нажмите кнопку ОК в появляющемся сообщении.

  3. В разделе Агенты регистрации нажмите кнопку Добавить и введите имена пользователей или групп, для которых нужно выполнить настройку, а затем нажмите кнопку ОК. Щелкните Все, а затем выберите Удалить.

  4. В разделе Шаблоны сертификатов нажмите кнопку Добавить, выберите шаблон, чтобы разрешить этому пользователю или этой группе подавать заявки на соответствующие сертификаты, а затем нажмите кнопку ОК. Повторите это действие, пока не будут выбраны все шаблоны сертификатов, с которыми планируется разрешить работать этому агенту регистрации. Закончив добавлять имена шаблонов сертификатов, щелкните <Все>, а затем нажмите кнопку Удалить.

  5. В разделе Разрешения нажмите кнопку Добавить, введите имена пользователей или групп, для которых агент регистрации будет управлять определенными типами сертификатов, а затем нажмите кнопку ОК. Щелкните Все, а затем выберите Удалить.

  6. Если нужно запретить агенту регистрации управлять сертификатами для пользователя, компьютера или группы, в разделе Разрешения выберите пользователя, компьютер или группу, а затем нажмите кнопку Отказать.

  7. Закончив настраивать ограничения для агента регистрации, нажмите кнопку ОК или Применить.

Примечание

Пользователь или группа, к которым применяются ограничения агента регистрации, прежде чем они смогут выполнять функции агента регистрации, должны получить действительный сертификат агента регистрации для центра сертификации независимо от того, были ли настроены разрешения ограниченного агента регистрации.

Дополнительные источники информации

  • Ограничение диспетчеров сертификатов
  • Настройка аудита событий центра сертификации