Un agente de inscripción es un usuario que puede inscribirse en un certificado en nombre de otro cliente. A diferencia de un administrador de certificados, el agente de inscripción sólo puede procesar la solicitud de inscripción, pero no puede aprobar solicitudes pendientes o revocar certificados emitidos.
Windows Server 2008 R2 incluye tres plantillas de certificado que habilitan distintos tipos de agentes de inscripción:
-
Agente de inscripción. Se usa para solicitar certificados en nombre de otro sujeto.
-
Agente de inscripción (PC). Se usa para solicitar certificados en nombre de otro PC.
-
Intercambiar agente de inscripción (solicitud sin conexión). Se usa para solicitar certificados en nombre de otro sujeto y proporcionar el nombre del sujeto en la solicitud. El Servicio de inscripción de dispositivos de red usa esta plantilla para su certificado de agente de inscripción.
Al crear un agente de inscripción, puede precisar aún más la capacidad del agente para inscribirse en certificados en nombre de otros por grupo y por plantilla de certificado. Por ejemplo, es posible que desee implementar una restricción para que el agente de inscripción sólo pueda inscribirse en certificados de inicio de sesión de tarjeta inteligente para los usuarios de determinada oficina o unidad organizativa que sea la base de un grupo de seguridad.
Esta restricción se basa en un subconjunto de plantillas de certificado habilitado para la entidad de certificación (CA) y los grupos de usuarios con permisos de inscripción para la plantilla de certificado de dicha CA.
 | Importante |
|
Sólo puede aplicar restricciones de agentes de inscripción en las CA basadas en Windows Server 2008. Además, la directiva de agente de inscripción se debe configurar correctamente. |
Para completar este procedimiento, debe ser administrador de la CA o miembro del grupo Administradores de organización o un grupo equivalente. Para obtener más información, consulte Implementación de la administración basada en funciones.
 | Para configurar las restricciones de agentes de inscripción para una CA |
Abra el complemento Entidad de certificación y haga clic con el botón secundario en el nombre de la CA y, a continuación, haga clic en Propiedades.
Haga clic en la ficha Agentes de inscripción, en Restringir agentes de inscripción y en Aceptar en el mensaje que aparece.
En Agentes de inscripción, haga clic en Agregar, escriba los nombres de los usuarios o grupos que desee configurar y, a continuación, haga clic en Aceptar. Haga clic en Todos y, a continuación, en Quitar.
En Plantillas de certificado, haga clic en Agregar, seleccione la plantilla para los certificados en que desea que se inscriba este usuario o grupo y, a continuación, haga clic en Aceptar. Repita este paso hasta haber seleccionado todas las plantillas de certificado que desea habilitar para este agente de inscripción. Una vez agregados los nombres de las plantillas de certificado, haga clic en <Todo> y, a continuación, haga clic en Quitar.
En Permisos, haga clic en Agregar, escriba los nombres de los usuarios o grupos para los que desea que el agente de inscripción administre los tipos de certificados definidos y, a continuación, haga clic en Aceptar. Haga clic en Todos y, a continuación, en Quitar.
Si desea bloquear el agente de inscripción para evitar que administre los certificados de un usuario, un equipo o un grupo, en Permisos, seleccione dicho usuario, equipo o grupo y, a continuación, haga clic en Denegar.
Una vez configuradas las restricciones del agente de inscripción, haga clic en Aceptar o Aplicar.
 | Nota |
|
El usuario o el grupo al que se aplicaron las restricciones de agente de inscripción debe tener un certificado de agente de inscripción válido para la CA para poder actuar como agente de inscripción con independencia de que se hayan configurado o no los permisos de agente de inscripción. |