In einigen Fällen müssen Zertifikatanforderungen mithilfe eines gültigen Registrierungs-Agent-Zertifikats oder Signaturzertifikats digital signiert werden, bevor eine Zertifizierungsstelle (Certification Authority, CA) die Anforderung verarbeitet.
 | Wichtig |
|
Sobald ein Benutzer ein Registrierungs-Agent-Zertifikat hat, kann diese Person im Auftrag einer anderen Person in der Organisation ein Zertifikat registrieren und eine Smartcard generieren. Die generierte Smartcard kann dann zum Anmelden am Netzwerk und zum Annehmen der Identität eines realen Benutzers verwendet werden. Aufgrund der leistungsfähigen Funktion des Registrierungs-Agent-Zertifikats wird strengstens empfohlen, dass Ihre Organisation sehr strenge Sicherheitsrichtlinien für diese Zertifikate verwaltet. |
Das Risiko eines Missbrauchs des Registrierungs-Agent-Zertifikats kann z. B. minimiert werden, wenn Sie eine untergeordnete Zertifizierungsstelle mit sehr strenger Verwaltungsfunktionalität in Ihrer Organisation verwenden, die ausschließlich für die Ausgabe von Registrierungs-Agent-Zertifikaten verwendet wird. Nachdem die ersten Registrierungs-Agent-Zertifikate ausgegeben wurden, kann der Administrator der Zertifizierungsstelle die Ausgabe von Registrierungs-Agent-Zertifikate deaktivieren, bis diese Funktion wieder benötigt wird.
Durch Einschränkung der Administratoren, die den Zertifizierungsstellendienst in der untergeordneten Zertifizierungsstelle verwalten können, kann der Dienst bei Bedarf für die Generierung und Verteilung von Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) im Onlinemodus verbleiben.
Andere Zertifizierungsstellen in der Hierarchie können weiterhin Registrierungs-Agent-Zertifikate ausgeben, wenn ihre Richtlinieneinstellungen geändert werden. Sie können jedoch bestimmen, ob unzulässige Registrierungs-Agent-Zertifikate ausgegeben werden, indem Sie regelmäßig das Protokoll für ausgestellte Zertifikate für jede Zertifizierungsstelle überprüfen.
Weitere Verweise