Een sleutelherstelagent is een persoon die gemachtigd is een certificaat voor een eindgebruiker te herstellen. Omdat herstelagenten gevoelige gegevens in handen kunnen krijgen, dienen alleen uiterst betrouwbare personen deze rol te krijgen.

Om een sleutelherstelagent te identificeren moet u de certificaatsjabloon voor de sleutelherstelagent zo configureren dat degene die deze rol krijgt, zich kan inschrijven voor een certificaat voor een sleutelherstelagent.

Als u deze procedure wilt uitvoeren, moet u minimaal lid zijn van de groep Domeinadministrators of een vergelijkbare groep. Zie Op rollen gebaseerd beheer implementeren voor meer informatie.

De certificaatsjabloon voor een sleutelherstelagent configureren
  1. Open de module Certificaatsjablonen.

  2. Klik in de consolestructuur met de rechtermuisknop op de certificaatsjabloon Sleutelherstelagent.

  3. Klik op Kopie van sjabloon.

  4. Schakel in het dialoogvenster Kopie van sjabloon het selectievakje Windows Server 2003 Enterprise in, tenzij op al uw CA's en clientcomputers Windows Server 2008 R2, Windows Server 2008, Windows 7 of Windows Vista wordt uitgevoerd.

  5. Typ een nieuwe weergavenaam voor de sjabloon in het vak Sjabloon en breng de gewenste wijzigingen aan in de overige optionele eigenschappen.

  6. Klik op het tabblad Beveiliging op Toevoegen, typ de naam van de gebruikers waaraan u de certificaten voor sleutelherstelagent wilt verlenen en klik op OK.

  7. Selecteer de namen die u net hebt toegevoegd onder Namen van groepen of gebruikers. Schakel onder Machtigingen de selectievakjes Lezen en Inschrijven in en klik vervolgens op OK.

    Opmerking

    Voor een betere beveiliging en controle over het sleutelherstelproces wordt aangeraden geen automatische inschrijving te gebruiken voor certificaten voor sleutelherstelagenten.

Voordat de nieuwe sleutelherstelagent zich kan inschrijven voor een certificaat op basis van de nieuwe certificaatsjabloon die u hebt gemaakt, moet de sjabloon eerst worden toegevoegd aan de CA. Zie Certificaatsjablonen aan een certificeringsinstantie toevoegen (https://go.microsoft.com/fwlink/?LinkId=147110 (de pagina is mogelijk Engelstalig)) voor informatie over het uitvoeren van deze procedure.

Als het certificaat is geconfigureerd met de machtigingen Lezen en Inschrijven, moet de nieuwe sleutelherstelagent de module Certificaten en de wizard Certificaat importeren gebruiken om een sleutelherstelcertificaat te krijgen. Als de certificaatsjabloon is geconfigureerd met de machtiging Automatische inschrijving, wordt het certificaat automatisch verleend wanneer de gebruiker zich de volgende keer aanmeldt bij het netwerk.

Opmerking

Het selectievakje Goedkeuring van de CA-certificaatbeheerder op het tabblad Uitgiftevereisten is standaard ingeschakeld. Als u dit selectievakje niet uitschakelt, moet de certificaataanvraag door een CA-beheerder worden goedgekeurd voordat een certificaat voor een sleutelherstelagent wordt verleend.

De volgende procedure, Sleutelarchivering inschakelen voor een CA, kan pas worden uitgevoerd als dit certificaat is verleend aan de sleutelherstelagent.

Aanvullende naslaginformatie


Inhoudsopgave