En algunos casos, las solicitudes de certificado se deben firmar digitalmente mediante un certificado de agente de inscripción o de firma válido para que la entidad de certificación (CA) pueda procesar la solicitud.
Importante | |
Una vez que el usuario tiene el certificado de agente de inscripción, puede realizar una inscripción de un certificado y generar una tarjeta inteligente en nombre de cualquier usuario de la organización. La tarjeta inteligente resultante se puede usar para iniciar una sesión en la red y suplantar al usuario real. Dada la gran capacidad del certificado de agente de inscripción, se recomienda que la organización mantenga unas directivas de seguridad de alto nivel para estos certificados. |
Un escenario para minimizar el riesgo de uso incorrecto del certificado de agente de inscripción es contar con una CA subordinada con controles administrativos muy estrictos en la organización que solo se use para emitir certificados de agente de inscripción. Una vez emitidos los certificados de agente de inscripción, el administrador de la CA puede deshabilitar la emisión de certificados de agente de inscripción hasta que vuelva a ser necesaria.
Al restringir los administradores que pueden usar el servicio de CA en la CA subordinada, el servicio se puede mantener en línea para la generación y distribución de listas de revocación de certificados (CRL) si es necesario.
Otras CA de la jerarquía pueden seguir emitiendo certificados de agente de inscripción si la configuración de directiva cambia, aunque puede determinar si la emisión de certificados de agente de inscripción es correcta mediante la comprobación regular del registro de certificados emitidos para cada CA.
Referencias adicionales