Un agent d’inscription est un utilisateur qui peut inscrire un certificat pour le compte d’un autre client. Contrairement au gestionnaire de certificats, un agent d’inscription peut uniquement traiter la requête d’inscription et ne peut pas approuver les demandes en attente ou révoquer des certificats émis.

Windows Server 2008 R2 comprend trois modèles de certificats qui permettent d’utiliser plusieurs types d’agents d’inscription :

  • Agent d’inscription. Utilisé pour demander des certificats pour le compte d’un autre sujet.

  • Agent d’inscription (Ordinateur). Utilisé pour demander des certificats pour le compte d’un autre ordinateur.

  • Agent d’inscription Exchange (requête hors connexion). Utilisé pour demander des certificats pour le compte d’un autre sujet et fournir le nom du sujet dans la demande. Ce modèle est utilisé par le service d’inscription de périphériques réseau pour son certificat d’agent d’inscription.

Lorsque vous créez un agent d’inscription, vous pouvez affiner ses capacités pour lui permettre d’inscrire des certificats pour le compte d’autres agents, par groupe ou par modèle de certificat. Par exemple, vous pourriez vouloir implémenter une restriction afin que l’agent d’inscription puisse inscrire uniquement des certificats d’ouverture de session par carte à puce pour les utilisateurs d’un certain bureau ou d’une unité d’organisation qui est la base d’un groupe de sécurité.

Cette restriction est basée sur un sous-ensemble des modèles de certificats activé pour l’autorité de certification et les groupes d’utilisateurs qui possèdent des autorisations d’inscription pour ce modèle de certificat de cette autorité de certification.

Important

Vous ne pouvez appliquer des restrictions aux agents d’inscription que dans les autorités de certification Windows Server 2008. La stratégie d’agent d’inscription doit aussi être configurée correctement.

Vous devez être un administrateur d’autorité de certification ou faire partie du groupe Administrateurs de l’entreprise ou d’un groupe équivalent pour effectuer cette opération. Pour plus d’informations, voir Implémenter l’administration basée sur les rôles.

Pour configurer les restrictions de l’agent d’inscription pour une autorité de certification
  1. Ouvrez le composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur le nom de l’autorité de certification et cliquez sur Propriétés.

  2. Cliquez sur l’onglet Agents d’inscription, cliquez sur Restreindre les agents d’inscription, puis cliquez sur OK dans la boîte de dialogue qui s’affiche.

  3. Sous l’onglet Agents d’inscription, cliquez sur Ajouter, tapez le nom des utilisateurs ou des groupes d’utilisateurs à configurer, puis cliquez sur OK. Cliquez sur Tout le monde, puis sur Supprimer.

  4. Sous Modèles de certificats, cliquez sur Ajouter, sélectionnez le modèle pour les certificats que vous voulez que cet utilisateur puisse inscrire, puis cliquez sur OK. Répétez cette étape jusqu’à ce que vous ayez sélectionné tous les modèles de certificats que vous voulez activer pour cet agent d’inscription. Lorsque vous avez terminé d’ajouter les noms des modèles de certificats, cliquez sur <Tous> puis sur Supprimer.

  5. Sous Autorisations, cliquez sur Ajouter, tapez les noms des utilisateurs ou des groupes pour lesquels vous voulez que l’agent d’inscription gère les types de certificats définis, puis cliquez sur OK. Cliquez sur Tout le monde, puis sur Supprimer.

  6. Si vous voulez empêcher l’agent d’inscription de gérer les certificats d’un utilisateur, d’un ordinateur ou d’un groupe spécifique, sous Autorisations, sélectionnez cet utilisateur, ordinateur ou groupe et cliquez sur Refuser.

  7. Lorsque vous avez terminé de configurer les restrictions des agents d’inscription, cliquez sur OK ou Appliquer.

Remarques

L’utilisateur ou le groupe pour lequel vous avez appliqué des restrictions d’agent d’inscription doit disposer d’un certificat d’agent d’inscription valide pour l’autorité de certification avant de pouvoir assumer le rôle d’agent d’inscription, que les restrictions d’agent d’inscription aient été configurées ou non.


Table des matières