Eine Smartcard-Registrierungsstelle ermöglicht es bestimmten Mitarbeitern oder Agents, Smartcards von einer zentralen Arbeitsstation oder einer von beliebig vielen zuvor bestimmten Arbeitsstationen auszustellen. Das Bestimmen von Registrierungsstellen und -agents vereinfacht die physikalische Vorbereitung der auszustellenden Karte, verringert die Wahrscheinlichkeit, dass der Zertifikatdienst unterbrochen wird, und verhindert, dass Benutzer und Verwalter ihre eigene Identität bestätigen und ihre eigenen Zertifikate ausstellen, insbesondere in Organisationen oder Umgebungen mit unterschiedlichen Sicherheits- und Zugriffsstufen.

Vorbereiten einer Smartcard-Zertifikatregistrierungsstelle

Vor der Anforderung von Smartcard-Anmeldezertifikaten für Benutzer müssen folgende Aufgaben ausgeführt werden:

  • Die Registrierungs-Agent- und Smartcardanmelde- bzw. Smartcard-Benutzerzertifikate müssen für die Zertifizierungsstelle (Certification Authority, CA) konfiguriert und aktiviert werden.

  • Bei Bedarf müssen Registrierungs-Agent-Einschränkungen konfiguriert werden.

  • Der Registrierungs-Agent muss im Namen anderer Benutzer für das Registrierungs-Agent-Zertifikat registriert werden.

  • Folgen Sie auf dem Computer, den Sie zum Einrichten von Smartcards verwenden, den Anweisungen des Herstellers, um einen Smartkartenleser zu installieren.

In den folgenden Verfahren wird beschrieben, wie Sie sich im Namen anderer Benutzer für Smartcardzertifikate registrieren und wie Sie die Registrierungsstelle vorbereiten, wenn das Registrierungs-Agent-Zertifikat verfügbar ist. Diese Verfahren können auf jedem Computer unter Windows 7 oder Windows Vista oder einem Mitgliedsserver unter Windows Server 2008 R2 oder Windows Server 2008 ausgeführt werden, den Sie als Smartcard-Zertifikatregistrierungsstelle verwenden möchten.

Sie müssen mindestens Mitglied der Gruppe Benutzer sein und über ein Registrierungs-Agent-Zertifikat verfügen, um dieses Verfahren ausführen zu können.

So registrieren Sie sich im Namen anderer Benutzer für ein Zertifikat
  1. Öffnen Sie das Zertifikate-Snap-In für einen Benutzer.

  2. Klicken Sie mit der rechten Maustaste auf Zertifikate – Aktueller Benutzer, zeigen Sie auf Ansicht, klicken Sie auf Optionen. Überprüfen Sie, ob die Option Logische Zertifikatspeicher ausgewählt ist, und klicken Sie dann auf OK, um zu bestätigen, dass Sie sich in der Ansicht Logische Zertifikatspeicher befinden.

  3. Erweitern Sie in der Konsolenstruktur Eigene Zertifikate, und klicken Sie dann auf Zertifikate.

  4. Zeigen Sie im Menü Aktion auf Alle Aufgaben, klicken Sie auf Erweiterte Vorgänge, und klicken Sie dann auf Registrieren im Auftrag von, um den Zertifikatregistrierungs-Assistenten zu öffnen. Klicken Sie auf Weiter.

  5. Navigieren Sie zum Registrierungs-Agent-Zertifikat, das Sie zum Signieren der zu verarbeitenden Zertifikatanforderung verwenden möchten. Klicken Sie auf Weiter.

  6. Wählen Sie den Zertifikattyp aus, für den Sie sich registrieren möchten: Wenn Sie bereit sind, ein Zertifikat anzufordern, klicken Sie auf Registrieren.

  7. Wenn der Zertifikatregistrierungs-Assistent erfolgreich fertig gestellt wurde, klicken Sie auf Schließen.

Sie müssen als Domänenbenutzer mit entsprechenden Berechtigungen zum Hinzufügen von Snap-Ins angemeldet sein, um das folgende Verfahren ausführen zu können.

So bereiten Sie eine Smartcard-Zertifikatregistrierungsstelle vor
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie mmc ein, und klicken Sie dann auf OK.

  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen, und klicken Sie dann auf Hinzufügen.

  3. Doppelklicken Sie unter Snap-In auf Zertifikate.

  4. Klicken Sie auf Eigenes Benutzerkonto und anschließend auf Beenden.

  5. Klicken Sie auf Schließen und dann auf OK.

  6. Doppelklicken Sie auf Zertifikate – Aktueller Benutzer.

  7. Klicken Sie in der Konsolenstruktur auf Eigene Zertifikate.

  8. Zeigen Sie im Menü Aktion auf Alle Aufgaben, und klicken Sie dann auf Neues Zertifikat anfordern.

  9. Klicken Sie im Zertifikatregistrierungs-Assistenten auf die Zertifikatvorlage Registrierungs-Agent, und geben Sie die angeforderten Informationen an.

  10. Klicken Sie auf Zertifikat installieren, wenn Sie vom Zertifikatregistrierungs-Assistenten dazu aufgefordert werden.

Weitere Überlegungen

  • Sie können das Registrierungs-Agent-Zertifikat auf einer Smartcard installieren. Verwenden Sie dazu den Kryptografiedienstanbieter (Cryptographic Service Provider, CSP) des Smartcardherstellers, wenn Sie das Zertifikat anfordern. (Klicken Sie im Zertifikatanforderungs-Assistenten auf Erweiterte Optionen, um einen Smartcard-Kryptografiedienstanbieter für das Registrierungs-Agent-Zertifikat auszuwählen.)

  • Sobald ein Benutzer ein Registrierungs-Agent-Zertifikat hat, kann diese Person im Auftrag einer anderen Person in der Organisation ein Zertifikat registrieren und eine Smartcard generieren. Mit der resultierenden Smartcard könnte sich dann eine Person im Netzwerk anmelden und für den echten Benutzer ausgeben. Deshalb wird empfohlen, dass Ihre Organisation strenge Sicherheitsrichtlinien verwendet, um die Verwendung von Registrierungs-Agent-Zertifikaten einzuschränken.

Weitere Verweise


Inhaltsverzeichnis