Un agente di registrazione è un utente che può registrare un certificato per conto di un altro client. A differenza del gestore di certificati, l'agente di registrazione può solo elaborare la richiesta di registrazione e non può approvare richieste in sospeso o revocare certificati rilasciati.
Windows Server 2008 R2 include tre modelli di certificato che abilitano diversi tipi di agenti di registrazione:
-
Agente di registrazione. Utilizzato per richiedere certificati per conto di un altro soggetto.
-
Agente di registrazione (computer). Utilizzato per richiedere certificati per conto di un altro soggetto computer.
-
Agente di registrazione di Exchange (richiesta offline) Utilizzato per richiedere certificati per conto di un altro soggetto e specificare il nome del soggetto nella richiesta. Questo modello è utilizzato per il certificato Agente di registrazione utilizzato dal servizio Registrazione dispositivi di rete.
Quando si crea un agente di registrazione, è possibile restringere ulteriormente le sue possibilità di registrare certificati per conto di altri in base ai gruppi e ai modelli di certificato. Ad esempio, è possibile implementare una restrizione in modo che l'agente di registrazione possa solo registrare certificati di accesso smart card per gli utenti di un determinato ufficio o unità organizzativa che funge da base di un gruppo di sicurezza.
Questa restrizione è basata su un sottoinsieme dei modelli di certificato attivati per l'Autorità di certificazione (CA) e sui gruppi di utenti con autorizzazioni di registrazione per tale modello di certificato dalla CA.
 | Importante |
|
Le restrizioni per gli agenti di registrazione possono essere applicate solo alle CA basate su Windows Server 2008. È inoltre necessario configurare adeguatamente i criteri degli agenti di registrazione. |
Per eseguire questa procedura, è necessario essere un amministratore della CA o un membro del gruppo Enterprise Admins oppure di un gruppo equivalente. Per ulteriori informazioni, vedere Implementare l'amministrazione basata sui ruoli.
 | Per configurare restrizioni per gli agenti di registrazione per una CA |
Aprire lo snap-in Autorità di certificazione, fare clic con il pulsante destro del mouse sul nome della CA e quindi scegliere Proprietà.
Fare clic sulla scheda Agenti di registrazione, fare clic su Limita agenti di registrazione e quindi su OK nel messaggio visualizzato.
In Agenti di registrazione fare clic su Aggiungi, digitare i nomi degli utenti o dei gruppi che si desidera configurare e quindi fare clic su OK. Fare clic su Everyone e quindi su Rimuovi.
In Modelli di certificato fare clic su Aggiungi, selezionare il modello per i certificati che si desidera possano essere registrati dall'utente o dal gruppo e quindi fare clic su OK. Ripetere questo passaggio fino a selezionare tutti i modelli di certificato che si desidera abilitare per questo agente di registrazione. Terminata l'aggiunta dei modelli di certificato, fare clic su <Tutti> e quindi su Rimuovi.
In Autorizzazioni fare clic su Aggiungi, digitare i nomi degli utenti o dei gruppi per i quali si desidera che l'agente di registrazione gestisca i tipi di certificato definiti e quindi fare clic su OK. Fare clic su Everyone e quindi su Rimuovi.
Se si desidera impedire all'agente di registrazione di gestire i certificati per un utente, computer o gruppo, selezionare tale utente, computer o gruppo in Autorizzazioni e quindi fare clic su Nega.
Terminata la configurazione delle restrizioni per gli agenti di registrazione, fare clic su OK o su Applica.
 | Nota |
|
L'utente o il gruppo al quale sono state applicate le restrizioni per gli agenti di registrazione deve avere un certificato Agente di registrazione valido per la CA prima di poter fungere da agente di registrazione, che le autorizzazioni limitate per l'agente di registrazione siano state o meno configurate. |