Dans certains cas, les demandes de certificats doivent être signées numériquement en utilisant un Agent d’inscription ou un certificat de signature valide avant qu’une Autorité de certification ne traite la demande.
Important | |
Lorsqu’une personne possède un certificat Agent d’inscription, elle peut s’inscrire pour obtenir un certificat et générer une carte à puce au nom de toute personne de l’organisation. La carte à puce résultante pourrait alors être utilisée pour se connecter au réseau et emprunter l’identité de l’utilisateur réel. En raison des larges possibilités qu’offre le certificat d’agent d’inscription, il est vivement conseillé que votre organisation adopte des stratégies de sécurité renforcées pour ces certificats. |
Pour réduire le risque d’utilisation abusive du certificat Agent d’inscription, il est possible d’envisager une Autorité de certification secondaire exerçant un contrôle administratif performant au sein de votre organisation et uniquement dédiée à l’émission de certificats Agent d’inscription. Une fois que les certificats Agent d’inscription initiaux on été émis, l’administrateur de l’Autorité de certification peut désactiver l’émission des certificats Agent d’inscription jusqu’à la fois suivante.
En limitant le nombre d’administrateurs pouvant utiliser le service d’Autorité de certification sur l’Autorité de certification secondaire, le service peut être maintenu en ligne pour la génération et la distribution de listes de révocation de certificats si nécessaire.
D’autres Autorités de certification dans la hiérarchie peuvent toujours émettre des certificats Agent d’inscription si leurs paramètres de stratégie sont modifiés, mais vous pouvez déterminer si des certificats Agent d’inscription inappropriés sont émis en vérifiant régulièrement le journal des certificats émis pour chaque Autorité de certification.
Références supplémentaires