登録エージェントとは、別のクライアントに代わって証明書を登録できるユーザーです。証明書マネージャーとは異なり、登録エージェントが処理できるのは登録要求だけであり、保留中の要求の承認や、発行された証明書を失効させることはできません。
Windows Server 2008 R2 には、3 種類の登録エージェントを有効にするための 3 種類の証明書テンプレートが用意されています。
-
登録エージェント。別のサブジェクトに代わって証明書を要求するのに使用します。
-
登録エージェント (コンピューター)。別のコンピューター サブジェクトに代わって証明書を要求するのに使用します。
-
Exchange 登録エージェント (オフライン要求)。別のサブジェクトに代わって証明書を要求するのに使用し、要求の中でサブジェクト名を設定します。このテンプレートは、ネットワーク デバイス登録サービスの登録エージェント証明書に使用します。
登録エージェントを作成するときは、他のクライアントに代わって証明書を登録するためのエージェントの能力を、グループ別または証明書テンプレート別に調整できます。たとえば、特定のオフィス内のユーザー (つまり、セキュリティ グループの基になる組織単位) で使用するスマート カード ログオン証明書のみを登録できるように、登録エージェントに対して制限を適用する場合があります。
この制限は、証明機関 (CA) に対して有効になっている証明書テンプレートのサブセットおよびその CA の証明書テンプレートの登録アクセス許可を持つユーザー グループに基づいています。
 | 重要 |
|
登録エージェントの制限を適用できるのは、Windows Server 2008 ベースの CA だけです。また、登録エージェント ポリシーを適切に構成する必要があります。 |
この手順を実行するには、CA 管理者であるか、あるいは Enterprise Admins またはそれと同等のグループのメンバーである必要があります。詳細については、「役割ベースの管理を実装する」を参照してください。
 | CA 用に登録エージェントの制限を構成するには |
証明機関スナップインを開き、CA の名前を右クリックして、[プロパティ] をクリックします。
[登録エージェント] タブをクリックし、[登録エージェントを制限する] をクリックし、表示されたメッセージに対して [OK] をクリックします。
[登録エージェント] の [追加] をクリックし、構成するユーザーまたはグループの名前を入力して、[OK] をクリックします。[Everyone] をクリックし、[削除] をクリックします。
[証明書テンプレート] の [追加] をクリックし、このユーザーまたはグループの登録に使用する証明書テンプレートを選択して、[OK] をクリックします。この手順を繰り返して、この登録エージェントに対して有効にするすべての証明書テンプレートを選択します。証明書テンプレートの名前の追加が終了したら、[<すべて>] をクリックし、[削除] をクリックします。
[アクセス許可] の [追加] をクリックし、定義した証明書の種類の管理を登録エージェントが代理で行うユーザーまたはグループの名前を入力して、[OK] をクリックします。[Everyone] をクリックし、[削除] をクリックします。
ユーザー、コンピューター、またはグループの証明書を登録エージェントが管理できないようにするには、[アクセス許可] でこのユーザー、コンピューター、またはグループを選択し、[拒否] をクリックします。
登録エージェントの制限の構成が終了したら、[OK] または [適用] をクリックします。
 | 注 |
|
制限付き登録エージェントのアクセス許可が構成されているかどうかにかかわらず、登録エージェントの制限を適用したユーザーまたはグループが登録エージェントとして機能するためには、CA の有効な登録エージェント証明書を保持している必要があります。 |