註冊代理程式是可代表其他用戶端註冊憑證的使用者。與憑證管理員不同的是,註冊代理程式只能處理註冊要求,而無法核准擱置的要求或撤銷已發行的憑證。

Windows Server 2008 R2 包含三個憑證範本,可啟用不同類型的註冊代理程式:

  • 註冊代理程式。可用於代表其他主體要求憑證。

  • 註冊代理程式 (電腦)。可用於代表其他電腦主體要求憑證。

  • Exchange 註冊代理程式 (離線要求)。可用於代表其他主體要求憑證,並提供要求中的主體名稱。此範本可供網路裝置註冊服務用於其註冊代理程式憑證。

當您建立註冊代理程式時,可進一步調整代理程式的功能,以便依群組和依憑證範本代表其他人註冊憑證。例如,您可能想要執行註冊代理程式的限制,僅針對做為安全性群組基礎之特定辦公室或組織單位的使用者,註冊智慧卡登入憑證。

這項限制是依據憑證授權單位 (CA) 啟用的憑證範本子集,以及擁有該 CA 憑證範本註冊權限的使用者群組而定。

重要

您只能在 Windows Server 2008 CA 上套用註冊代理程式限制。註冊代理程式原則也必須正確設定。

若要完成此程序,您必須是 CA 系統管理員、Enterprise Admins 成員或具有同等權限。如需相關資訊,請參閱實作以角色為基礎的管理

設定 CA 的註冊代理程式限制
  1. 開啟 [憑證授權單位] 嵌入式管理單元,在 CA 名稱上按一下滑鼠右鍵,然後按一下 [內容]

  2. 依序按一下 [註冊代理程式] 索引標籤及 [限制註冊代理程式],然後在出現的訊息中按一下 [確定]

  3. [註冊代理程式] 之下,按一下 [新增],輸入您要設定之使用者或群組名稱,然後按一下 [確定]。按一下 [任何人],然後按一下 [移除]

  4. [憑證範本] 之下,按一下 [新增],選取您要此使用者或群組能夠註冊的憑證範本,然後按一下 [確定]。重複此步驟,直到選取您想要為此註冊代理程式啟用的所有憑證範本為止。當您完成新增憑證範本名稱時,請按一下 <全部>,然後按一下 [移除]

  5. [權限] 之下,按一下 [新增],輸入您要註冊代理程式管理之已定義憑證類型的使用者或群組名稱,然後按一下 [確定]。按一下 [任何人],然後按一下 [移除]

  6. 如果您想要封鎖註冊代理程式對使用者、電腦或群組的憑證管理,請在 [權限] 之下,選取此使用者、電腦或群組,然後按一下 [拒絕]

  7. 當您完成註冊代理程式限制的設定時,按一下 [確定][套用]

附註

要套用註冊代理程式限制的使用者或群組,不論是否已設定限制註冊代理程式權限,都必須具備有效的 CA 註冊代理程式憑證,才能做為註冊代理程式。


目錄