In alcuni casi, le richieste certificato devono essere firmate digitalmente mediante un certificato di firma o un agente di registrazione valido affinché possano essere elaborate da un'autorità di certificazione.
 | Importante |
|
Se si dispone di un certificato Agente di autorizzazione, è possibile registrare un certificato e generare una smart card per conto di qualsiasi utente nell'organizzazione. La smart card risultante può essere utilizzata ad esempio per accedere alla rete e rappresentare l'utente reale. Poiché le funzionalità dei certificati di tipo Agente di registrazione sono estremamente potenti, è consigliabile adottare severi criteri di sicurezza relativamente a tali certificati. |
Una possibilità di ridurre al minimo il rischio di utilizzo improprio del certificato Agente di registrazione consiste nel disporre di una autorità di certificazione subordinata con controlli amministrativi molto severi utilizzata nell'organizzazione solo allo scopo di rilasciare certificati Agente di registrazione. Dopo il rilascio dei certificati Agente di registrazione, l'amministratore dell'autorità di certificazione può disabilitare il rilascio di questo tipo di certificato finché non risulti nuovamente necessario consentirne il rilascio.
Limitando gli amministratori a cui è consentito utilizzare il servizio dell'autorità di certificazione subordinata, è possibile mantenere online il servizio per la generazione e la distribuzione di elenchi di revoche di certificati, se necessario.
Altre autorità di certificazione nella gerarchia potranno comunque rilasciare certificati Agente di registrazione se le rispettive impostazioni dei criteri vengono modificate, tuttavia l'utente può determinare se vengono rilasciati certificati Agente di distribuzione inappropriati controllando regolarmente il registro dei certificati rilasciati per ogni autorità di certificazione.
Ulteriori riferimenti