Un agent de récupération de clé est une personne autorisée à restaurer un certificat pour le compte d’un utilisateur final. Le rôle d’agent de récupération de clé pouvant impliquer des données sensibles, seules les personnes absolument dignes de confiance doivent se voir attribuer ce rôle.
Pour identifier un agent de récupération de clé, vous devez configurer le modèle de certificat d’agent de récupération de clé de façon à autoriser la personne dotée de ce rôle à s’inscrire pour obtenir un certificat d’agent de récupération de clé.
Pour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Admins du domaine ou à un groupe équivalent. Pour plus d’informations, voir Implémenter l’administration basée sur les rôles.
 | Pour configurer le modèle de certificat d’agent de récupération de clé |
Ouvrez le composant logiciel enfichable Modèles de certificats.
Dans l’arborescence de la console, cliquez avec le bouton droit sur le modèle de certificat Agent de récupération de clé.
Cliquez sur Modèle dupliqué.
Dans la boîte de dialogue Modèle dupliqué, cliquez sur Windows 2003 Server, Enterprise Edition à moins que toutes vos autorités de certification et tous vos ordinateurs clients n’exécutent Windows Server 2008 R2, Windows Server 2008, Windows 7 ou Windows Vista.
Dans Modèle, tapez le nom complet du modèle, puis modifiez les propriétés facultatives selon vos besoins.
Sous l’onglet Sécurité, cliquez sur Ajouter, tapez le nom des utilisateurs pour lesquels vous souhaitez émettre les certificats d’agent de récupération de clé, puis cliquez sur OK.
Sous Noms de groupes ou d’utilisateurs, sélectionnez les noms d’utilisateurs que vous venez d’ajouter. Sous Autorisations, activez les cases à cocher Lecture et Inscription, puis cliquez sur OK.
Remarques Pour améliorer la sécurité et le contrôle du processus de récupération de clé, vous ne devez pas utiliser l’inscription automatique pour les certificats d’agent de récupération de clé.
Pour que l’agent de récupération de clé puisse s’inscrire pour obtenir un certificat basé sur le nouveau modèle de certificat que vous venez de créer, le modèle doit d’abord être ajouté à l’autorité de certification. Pour plus d’informations sur cette procédure, voir Ajouter un modèle de certificat à une autorité de certification (
Si le certificat a été configuré avec les autorisations Lecture et Inscription, le nouvel agent de récupération de clé doit utiliser le composant logiciel enfichable Certificats et l’Assistant Importation de certificat pour obtenir un certificat de récupération de clé. Si le modèle de certificat a été configuré avec les autorisations Inscription automatique, le certificat sera émis automatiquement à la prochaine connexion de l’utilisateur sur le réseau.
| Remarques |
|
Par défaut, la case à cocher Approbation du gestionnaire de certificat de l’Autorité de certification est activée sous l’onglet Conditions d’émission. Si vous désactivez cette case à cocher, un gestionnaire d’autorité de certification devra approuver la demande de certificat avant qu’un certificat d’agent de récupération de clé ne soit émis. |
La procédure suivante, Activer l’archivage de clé pour une autorité de certification, ne peut pas être effectuée tant que l’agent de récupération de clé n’aura pas obtenu son certificat.