Agent pro zápis certifikátů je uživatel, který může zapsat certifikát jménem jiného klienta. Na rozdíl od správce certifikátů může agent pro zápis certifikátů pouze zpracovávat žádosti o zápis, nikoli schvalovat žádosti čekající na vyřízení nebo odvolávat vydané certifikáty.
Systém Windows Server 2008 R2 obsahuje tři šablony certifikátů, které umožňují různé typy agentů pro zápis certifikátů:
-
Agent pro zápis certifikátu: Používá se pro žádosti o certifikáty jménem jiného subjektu.
-
Agent pro zápis certifikátu (počítač): Používá se pro žádosti o certifikáty jménem jiného subjektu představovaného počítačem.
-
Agent pro zápis serveru Exchange (žádost offline): Používá se pro žádosti o certifikát jménem jiného subjektu a dodání názvu subjektu v žádosti. Tuto šablonu používá Služba zápisu síťových zařízení pro certifikáty vlastního agenta pro zápis.
Po vytvoření agenta pro zápis certifikátů můžete upřesnit jeho možnosti zápisu certifikátů v zastoupení jiných subjektů pomocí skupin a šablon certifikátu Můžete například implementovat omezení, které agentu pro zápis umožní pouze zapisovat certifikáty pro přihlášení pomocí čipových karet pro uživatele v určité kanceláři nebo organizační jednotce, která je základem skupiny zabezpečení.
Toto omezení je založeno na podmnožině šablon certifikátů povolených pro danou certifikační autoritu (CA) a na skupinách uživatelů s oprávněním k zápisu do této šablony certifikátu z dané certifikační autority.
Důležité informace | |
Omezení agentů pro zápis certifikátů lze použít pouze u certifikačních autorit se systémem Windows Server 2008. Je také nutné nakonfigurovat správně zásadu agenta pro zápis certifikátu. |
Tento postup mohou provádět pouze správci certifikační autority a členové skupiny Enterprise Admins nebo uživatelé s ekvivalentními oprávněními. Další informace naleznete v tématu Implementace správy založené na rolích.
Konfigurace omezení agenta pro zápis certifikátů pro certifikační autoritu |
Spusťte modul snap-in Certifikační autorita, klikněte pravým tlačítkem myši na název certifikační autority a klikněte na příkaz Vlastnosti.
Klikněte na kartu Agenti pro zápis certifikátů, klikněte na přepínač Omezit agenty pro zápis certifikátů a v zobrazeném okně se zprávou klikněte na tlačítko OK.
V části Agenti pro zápis certifikátů klikněte na možnost Přidat, zadejte jména uživatelů nebo názvy skupin, které chcete konfigurovat, a klikněte na tlačítko OK. Klikněte na položku Všichni a potom na tlačítko Odebrat.
V části Šablony certifikátů klikněte na možnost Přidat, vyberte šablonu pro certifikáty, které má tento uživatel nebo skupina zapisovat, a klikněte na tlačítko OK. Opakujte tento krok pro všechny šablony certifikátů, které chcete povolit pro daného agenta pro zápis certifikátů. Po přidání názvů šablon certifikátů klikněte na možnost <Všechny> a potom na tlačítko Odebrat.
V části Oprávnění klikněte na možnost Přidat, zadejte jméno uživatele nebo název skupiny, pro kterou bude agent pro zápis certifikátů spravovat definované typy certifikátů, a klikněte na tlačítko OK. Klikněte na položku Všichni a potom na tlačítko Odebrat.
Chcete-li agentu pro zápis certifikátů zabránit ve správě certifikátů pro určitého uživatele, počítač nebo skupinu, vyberte jej v části Oprávnění a klikněte na možnost Odepřít.
Po dokončení konfigurace omezení agenta pro zápis certifikátů klikněte na tlačítko OK nebo Použít.
Poznámka | |
Uživatel nebo skupina, u které jste použili omezení agenta pro zápis, mohou plnit funkci agenta pro zápis, pouze pokud mají platný certifikát agenta pro zápis certifikátů pro certifikační autoritu, bez ohledu na to, zda byla konfigurována oprávnění agenta pro omezený zápis či nikoli. |