Um agente de inscrição é um utilizador que se pode inscrever para um certificado em nome de outro cliente. Ao contrário de um gestor de certificados, um agente de inscrição só pode processar o pedido de inscrição e não pode aprovar pedidos pendentes nem revogar certificados emitidos.
O Windows Server 2008 R2 inclui três modelos de certificado que permitem diferentes tipos de agentes de inscrição:
-
Agente de Inscrição. Utilizado para pedir certificados em nome de outro requerente.
-
Agente de Inscrição (Computador). Utilizado para pedir certificados em nome de outro requerente do computador.
-
Agente de Inscrição do Exchange (Pedido Offline). Utilizado para pedir certificados em nome de outro requerente e fornecer o nome do requerente no pedido. Este modelo é utilizado pelo Serviço de Inscrição de Dispositivos de Rede para o respectivo certificado de agente de inscrição.
Quando cria um agente de inscrição, pode refinar ainda mais a capacidade do agente para se inscrever para certificados em nome de outros por grupo e por modelo de certificado. Por exemplo, poderá querer implementar uma restrição de modo a que o agente de inscrição apenas se possa inscrever para certificados de início de sessão de smart card para utilizadores num determinado escritório ou unidade organizacional que constitua a base de um grupo de segurança.
Esta restrição baseia-se num subconjunto dos modelos de certificado activados para a autoridade de certificação (AC) e para os grupos de utilizadores que tenham permissões de inscrição para esse modelo de certificado dessa AC.
 | Importante |
|
Só pode aplicar restrições de agentes de inscrição a ACs baseadas no Windows Server 2008. A política dos agentes de inscrição também tem de ser correctamente configurada. |
Tem de ser um administrador de AC ou membro do grupo Admins da Empresa, ou equivalente, para concluir este procedimento. Para mais informações, consulte Implementar Administração Baseada em Funções.
 | Para configurar restrições de agentes de inscrição para uma AC |
Abra o snap-in Autoridade de Certificação, clique com o botão direito no nome da AC e, em seguida, clique em Propriedades.
Clique no separador Agentes de Inscrição, clique em Restringir agentes de inscrição e clique em OK na mensagem que aparecer.
Em Agentes de Inscrição, clique em Adicionar, escreva os nomes dos utilizadores ou grupos que pretende configurar e, em seguida, clique em OK. Clique em Todos e, em seguida, clique em Remover.
Em Modelos de Certificado, clique em Adicionar, seleccione o modelo para os certificados em que pretende basear a inscrição deste utilizador ou grupo e, em seguida, clique em OK. Repita este passo até ter seleccionado todos os modelos de certificado que pretende permitir para este agente de inscrição. Depois de adicionados os nomes dos modelos de certificado, clique em <Tudo> e, em seguida, em Remover.
Em Permissões, clique em Adicionar, escreva os nomes dos utilizadores ou grupos cujos tipos de certificados definidos pretende que o agente de inscrição gira e, em seguida, clique em OK. Clique em Todos e, em seguida, clique em Remover.
Se quiser bloquear a gestão de certificados de um determinado utilizador, computador ou grupo ao agente de inscrição, em Permissões, seleccione este utilizador, computador ou grupo e clique em Negar.
Quando terminar a configuração de restrições do agente de inscrição, clique em OK ou em Aplicar.
 | Nota |
|
O utilizador ou o grupo ao qual aplicou restrições de agentes de inscrição tem de ter um certificado de agente de inscrição válido para a AC, para que possa agir como agente de inscrição, quer as permissões de agente de inscrição restrito tenham ou não sido configuradas. |