場合によっては、証明機関 (CA) が証明書の要求を処理する前に、有効な登録エージェントまたは署名の証明書を使って、証明書の要求にデジタル署名する必要があります。
 | 重要 |
|
ユーザーが登録エージェント証明書を取得すると、そのユーザーは証明書を登録し、組織内の他のユーザーの代理でスマート カードを生成できるようになります。その結果として生成されたスマート カードは、ネットワークにログオンし、実際のユーザーを偽装するために使用される可能性もあります。登録エージェント証明書の機能は強力であるため、このような証明書に関しては非常に厳格なセキュリティ ポリシーを組織内で維持することを強くお勧めします。 |
登録エージェントの証明書の悪用のリスクを最小化するシナリオの 1 つは、登録エージェント証明書の発行のみに使用される、非常に厳格な管理機能を持つ下位の CA を設定することです。最初の登録エージェントの証明書が発行されると、CA の管理者は再度必要になるまで、登録エージェント証明書の発行を無効にすることができます。
下位の CA で CA サービスを運用できる管理者を制限することで、このサービスは必要に応じて証明書失効リスト (CRL) の生成と配布に関してオンラインを維持することができます。
階層の他の CA は、ポリシー設定が変更されたときに登録エージェント証明書を発行できますが、各 CA で発行された証明書のログを定期的に確認することで、不適切な登録エージェント証明書が発行されたかどうかを判断することができます。
その他の参照情報