V některých případech musí být žádosti o certifikát digitálně podepsány pomocí platného certifikátu Agent pro zápis certifikátu nebo podpisového certifikátu dříve, než certifikační autorita žádost zpracuje.
Důležité informace | |
Jakmile někdo získá certifikát Agent pro zápis certifikátu, může zapsat certifikát a vytvořit čipovou kartu jménem kteréhokoli uživatele v organizaci. S takto vytvořenou kartou se pak může přihlásit do sítě a neoprávněně se vydávat za jiného uživatele. Vzhledem k možnostem certifikátu Agent pro zápis certifikátu se doporučuje, aby v každé organizaci platila přísná pravidla zabezpečení pro tyto certifikáty. |
Jednou z možností, jak lze minimalizovat riziko zneužití certifikátu Agent pro zápis certifikátu, je vytvořit podřízenou certifikační autoritu s přísnou administrativní kontrolou v organizaci, která bude sloužit pouze k vydávání certifikátů Agent pro zápis certifikátu. Po vydání prvních certifikátů Agent pro zápis certifikátu pak může správce certifikační autority vydávání dalších certifikátů Agent pro zápis certifikátu zakázat a povolit je až v okamžiku, kdy to bude opět zapotřebí.
Omezením počtu správců, kteří mohou pracovat s podřízenou službou certifikační autority, je možné ponechat službu online pro vytváření a rozmísťování seznamů odvolaných certifikátů (seznamů CRL).
Další certifikační autority v hierarchii lze případně také použít k vydávání certifikátů Agent pro zápis certifikátu, jsou-li jejich zásady příslušně změněny, ale pravidelnou kontrolou protokolu Vystavené certifikáty jednotlivých certifikačních autorit je možné zjistit, zda nejsou neoprávněně vydávány certifikáty Agent pro zápis certifikátu.
Další informace