在某些情况下,在证书颁发机构 (CA) 处理申请之前,必须使用有效的注册代理证书或签名证书对证书申请进行数字签名。
 | 重要 |
|
某人拥有注册代理证书后,即可代表组织中的任何人注册证书并生成智能卡。然后可以使用生成的智能卡登录到网络并模拟真实用户。由于注册代理证书具有强大的功能,因此强烈建议您所在的组织对这些证书保持非常强的安全策略。 |
使误用注册代理证书的风险最小化的一个方案是在组织中拥有一个仅用于颁发注册代理证书的从属 CA,并使其受到非常严格的管理控制。颁发注册代理证书后,CA 的管理员就可以禁用注册代理证书的颁发,直到再次需要该证书为止。
通过限制可以在从属 CA 上操作 CA 服务的管理员,可以将服务保持在联机状态(如果需要),以便生成和分发证书吊销列表 (CRL)。
层次结构中的其他 CA 即使在其策略设置更改时也仍能颁发注册代理证书,但您可以通过定期检查每个 CA 的“已颁发证书”日志来确定是否颁发了不恰当的注册代理证书。
其他参考