Un agente de recuperación de claves (Key Recovery Agent) es un usuario con autorización para recuperar un certificado en nombre de un usuario final. Dado que el rol del Key Recovery Agent puede estar relacionado con información confidencial, solo debe asignarse este rol a los usuarios con un alto grado de confianza.

Para identificar un Key Recovery Agent, debe configurar la plantilla de certificado de Key Recovery Agent para permitir a la persona a la que se asignó este rol inscribirse en un certificado de Key Recovery Agent.

El mínimo requerido para completar este procedimiento es la pertenencia a Admins. del dominio o un grupo equivalente. Para obtener más información, vea Implementación de la administración basada en funciones.

Para configurar una plantilla de certificado de Key Recovery Agent
  1. Abra el complemento Plantillas de certificado.

  2. En el árbol de consola, haga clic con el botón secundario en la plantilla de certificado Key Recovery Agent.

  3. Haga clic en Plantilla duplicada.

  4. En el cuadro de diálogo Plantilla duplicada, haga clic en Windows 2003 Server Enterprise a menos que todas las entidades de certificación (CA) y equipos cliente estén ejecutando Windows Server 2008 R2, Windows Server 2008, Windows 7 o Windows Vista.

  5. En Plantilla, escriba un nombre para mostrar nuevo para la plantilla y, a continuación, modifique cualquier otra propiedad opcional según sea necesario.

  6. En la ficha Seguridad, haga clic en Agregar, escriba el nombre de los usuarios para los que desea que se emitan los certificados de Key Recovery Agent y, a continuación, haga clic en Aceptar.

  7. En Nombre de grupos o usuarios, seleccione los nombres de usuario que acaba de agregar. En Permisos, active las casillas Leer e Inscribir y, a continuación, haga clic en Aceptar.

    Nota

    Para aumentar el nivel de seguridad y control del proceso de recuperación de claves, no debe usar la inscripción automática para los certificados de Key Recovery Agent.

Para que el nuevo Key Recovery Agent se pueda inscribir para un certificado basado en la nueva plantilla de certificado creada, dicha plantilla se debe agregar primero a la CA. Para obtener información acerca de cómo completar este procedimiento, vea Agregar una plantilla de certificado a una entidad de certificación (https://go.microsoft.com/fwlink/?LinkId=147110).

Si el certificado se configuró con permisos de lectura e inscripción, el nuevo Key Recovery Agent debe usar el complemento Certificados y el Asistente para importación de certificados para obtener un certificado de recuperación de clave. Si la plantilla de certificado se configuró con permisos de inscripción automática, el certificado se emitirá automáticamente la próxima vez que el usuario inicie sesión en la red.

Nota

De forma predeterminada, la casilla Aprobación del administrador de certificados de entidad de certificación está activada en la ficha Requisitos de emisión. A menos que desactive esta casilla, un administrador de CA debe aprobar la solicitud de certificado para poder emitir un certificado de Key Recovery Agent.

El siguiente procedimiento, Habilitación del archivo de claves para una CA, no se puede completar hasta que el Key Recovery Agent haya obtenido este certificado.


Tabla de contenido