Un agente di recupero chiavi è una persona autorizzata a recuperare un certificato per conto di un utente finale. Poiché il ruolo di agente di recupero chiavi può comportare l'accesso a dati sensibili, questa responsabilità dovrà essere affidata solo a persone della massima fiducia.
Per identificare un agente di recupero chiavi, è necessario configurare il relativo modello di certificato in modo da consentire alla persona con tale ruolo di registrare un certificato di agente di recupero chiavi.
Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Domain Admins oppure a un gruppo equivalente. Per ulteriori informazioni, vedere Implementare l'amministrazione basata sui ruoli.
 | Per configurare il modello di certificato dell'agente di recupero chiavi |
Aprire lo snap-in Modelli di certificato.
Nell'albero della console fare clic con il pulsante destro del mouse sul modello di certificato Agente di recupero chiavi.
Fare clic su Duplica modello.
Nella finestra di dialogo Duplica modello fare clic su Windows 2003 Server Enterprise a meno che tutte le autorità di certificazione (CA) e i computer client non eseguano Windows Server 2008 R2, Windows Server 2008, Windows 7 o Windows Vista.
In Modello digitare un nuovo nome visualizzato per il modello e quindi modificare altre proprietà facoltative, se necessario.
Nella scheda Sicurezza fare clic su Aggiungi, digitare i nomi degli utenti per i quali si desidera emettere i certificati di agente di recupero chiavi e quindi fare clic su OK.
In Nomi di gruppi o di utenti selezionare i nomi utente appena aggiunti. In Autorizzazioni selezionare le caselle di controllo Lettura e Registrazione e quindi fare clic su OK.
Nota Per migliorare la sicurezza e il controllo del processo di recupero chiavi, per i certificati degli agenti di recupero chiavi è consigliabile non utilizzare la registrazione automatica.
Prima che il nuovo agente di recupero chiavi possa registrare un certificato basato sul nuovo modello di certificato creato, è innanzitutto necessario aggiungere il modello alla CA. Per informazioni sull'esecuzione di questa procedura, vedere la pagina relativa all'aggiunta di un modello di certificato a un'autorità di certificazione (
Se il certificato è configurato con le autorizzazioni Lettura e Registrazione, per ottenere un certificato di recupero chiavi il nuovo agente di recupero chiavi deve utilizzare lo snap-in Certificati e l'Importazione guidata certificati. Se il modello di certificato è configurato con l'autorizzazione Registrazione automatica, il certificato verrà emesso automaticamente al successivo accesso dell'utente alla rete.
| Nota |
|
Per impostazione predefinita, la casella di controllo Approvazione gestore certificati CA nella scheda Requisiti di rilascio è selezionata. Se questa casella di controllo rimane selezionata, un gestore CA dovrà approvare la richiesta prima dell'emissione del certificato dell'agente di recupero chiavi. |
La procedura successiva, Abilitare l'archiviazione chiavi per una CA, potrà essere eseguita solo dopo che l'agente di recupero chiavi avrà ottenuto il certificato.