Agent obnovení klíčů je osoba autorizovaná k obnovení certifikátu jménem koncového uživatele. Vzhledem k tomu, že role agenta obnovení klíčů může zahrnovat přístup k citlivým datům, přiřaďte tuto roli pouze vysoce důvěryhodným uživatelům.
Chcete-li určit agenta obnovení klíčů, je nutné konfigurovat šablonu certifikátu agenta obnovení klíčů, která uživateli s touto rolí umožní zapsat certifikát agenta obnovení klíčů.
Minimálním požadavkem k provedení tohoto postupu je, aby byl uživatel členem skupiny Domain Admins nebo měl srovnatelné oprávnění. Další informace naleznete v tématu Implementace správy založené na rolích.
 | Konfigurace šablony certifikátu agenta obnovení klíčů |
Spusťte modul snap-in Šablony certifikátů.
Ve stromu konzoly klikněte pravým tlačítkem myši na šablonu certifikátu Agent obnovení klíčů.
Klikněte na příkaz Vytvořit duplikát šablony.
Pokud všechny vaše certifikační autority a všechny klientské počítače nepoužívají systém Windows Server 2008 R2, Windows Server 2008, Windows 7 nebo Windows Vista, zaškrtněte v dialogovém okně Vytvořit duplikát šablony políčko Windows Server 2003 Enterprise.
Zadejte do pole Šablona zobrazovaný název nové šablony a podle potřeby upravte jakékoli jiné volitelné vlastnosti.
Na kartě Zabezpečení klikněte na možnost Přidat, zadejte jména uživatelů, kterým chcete vydat certifikáty agenta obnovení klíčů, a klikněte na tlačítko OK.
V seznamu Název skupiny nebo jméno uživatele vyberte jména uživatelů, která jste přidali. V části Oprávnění zaškrtněte políčka Číst a Zapsat a poté klikněte na tlačítko OK.
Poznámka Chcete-li zvýšit zabezpečení procesu obnovení klíčů a mít nad ním lepší kontrolu, nepoužívejte pro certifikáty agenta obnovení klíčů automatický zápis.
Nový agent obnovení klíčů může zapisovat certifikáty založené na nově vytvořené šabloně certifikátu až po jejím přidání k certifikační autoritě. Informace o provedení uvedené akce získáte v tématu Přidání šablony certifikátu k certifikační autoritě (
Pokud byl certifikát konfigurován s oprávněními pro čtení a zápis, musí nový agent obnovení klíčů použít k získání certifikátu pro obnovení klíčů modul snap-in Certifikáty a Průvodce importem certifikátu. Pokud byla šablona certifikátu konfigurována s oprávněním pro automatický zápis, bude certifikát automaticky vydán při příštím přihlášení uživatele k síti.
| Poznámka |
|
Políčko Schválení správce certifikátů certifikační autority na kartě Požadavky na vystavování je ve výchozím nastavení zaškrtnuto. Pokud zaškrtnutí tohoto políčka nezrušíte, musí správce certifikační autority před vydáním certifikátu agenta obnovení klíčů schválit žádost o certifikát. |
Dokud agent obnovení klíčů nezíská tento certifikát, nelze provést další postup (Povolení archivace klíčů pro certifikační autoritu).