في بعض الحالات، يجب توقيع طلبات الشهادات رقميًا باستخدام "عامل تسجيل" صالح أو "توقيع" الشهادة قبل أن يقوم مرجع مصدق (CA) بمعالجة الطلب.
 | هام |
|
بمجرد أن يحصل شخص ما على شهادة "عامل التسجيل"، يمكن أن يسجل هذا الشخص إحدى الشهادات وأن ينتج بطاقة ذكية نيابةً عن أي شخص في المؤسسة. وعندئذ يمكن استخدام البطاقة الذكية الناتجة لتسجيل الدخول على الشبكة وانتحال هوية المستخدم الحقيقي. وبسبب القدرة القوية لشهادة "عامل التسجيل" (Enrollment Agent)، يستحسن بشدة أن تطبق المؤسسة نُهج أمان قوية جداً على هذه الشهادات. |
يعتبر الحصول على سيناريو واحد لتقليل إساءة استخدام شهادة "عامل التسجيل" مثل الحصول على مرجع مصدق (CA) ثانوي مع عمليات تحكم إدارية شديدة التعقيد في المؤسسة والتي يتم استخدامها فقط لإصدار شهادات "عامل التسجيل". وبمجرد إصدار شهادات "عامل التسجيل" الأولي، يمكن أن يقوم مسؤول المرجع المصدق (CA) بتعطيل إصدار شهادات "عامل التسجيل" حتى تتم الحاجة إليه مرة ثانية.
بتقييد المسؤولين الذين يمكنهم تشغيل خدمة المرجع المصدق (CA) على المرجع المصدق (CA) الفرعي، يمكن حفظ الخدمة عبر إنترنت لإنشاء قوائم إبطال الشهادات (CRLs) عند الضرورة.
يمكن أن تنشئ المراجع المصدقة (CAs) الأخرى شهادات "عامل التسجيل" في حالة تغير إعدادات النهج، لكن يمكن تحديد ما إذا كان قد تم إصدار شهادات "عامل التسجيل" غير المناسبة وذلك بفحص سجل الشهادات التي تم إصدارها لكل مرجع مصدق (CA) بانتظام.
مراجع إضافية