Een inschrijvingsagent is een gebruiker die een andere client kan inschrijven voor een certificaat. In tegenstelling tot een certificaatbeheerder kan een inschrijvingsagent alleen het verzoek voor inschrijving verwerken. De agent kan geen verzoeken die in behandeling zijn, goedkeuren of verleende certificaten intrekken.

Windows Server 2008 R2 beschikt over drie certificaatsjablonen voor verschillende typen inschrijvingsagenten:

  • Inschrijvingsagent. Deze wordt gebruikt om certificaten uit naam van een andere certificaathouder aan te vragen.

  • Inschrijvingsagent (computer). Deze wordt gebruikt om certificaten uit naam van een andere computercertificaathouder aan te vragen.

  • Exchange-inschrijvingsagent (offlineaanvraag). Deze wordt gebruikt om certificaten uit naam van een andere certificaathouder aan te vragen en de naam van de certificaathouder in de aanvraag op te nemen. Deze sjabloon wordt door de registratieservice voor netwerkapparaten gebruikt voor het inschrijvingsagentcertificaat.

Wanneer u een inschrijvingsagent maakt, kunt u de mogelijkheden van de agent om anderen in te schrijven voor certificaten, per groep en per certificaatsjabloon verfijnen. U kunt bijvoorbeeld als beperking instellen dat de inschrijvingsagent alleen gebruikers in een bepaald kantoor of een bepaalde organisatie-eenheid die de basis vormt voor een beveiligingsgroep, kan inschrijven voor certificaten voor aanmelding via smartcards.

Deze beperking is gebaseerd op een subset van de certificaatsjablonen die zijn ingeschakeld voor de certificeringsinstantie (CA) en de gebruikersgroepen die de machtiging Inschrijven hebben voor die certificaatsjabloon van die CA.

Belangrijk

Beperkingen voor inschrijvingsagenten kunt u alleen toepassen op CA's van Windows Server 2008. Bovendien moet het beleid voor inschrijvingsagenten op de juiste wijze zijn geconfigureerd.

Als u deze procedure wilt uitvoeren, moet u CA-beheerder zijn of lid zijn van de groep Ondernemingsadministrators of een vergelijkbare groep. Zie Op rollen gebaseerd beheer implementeren voor meer informatie.

Beperkingen voor inschrijvingsagenten configureren voor een CA
  1. Open de module Certificeringsinstantie, klik met de rechtermuisknop op de naam van de CA en klik op Eigenschappen.

  2. Klik op het tabblad Inschrijvingsagenten op Inschrijvingsagenten beperken en klik op OK in het bericht dat verschijnt.

  3. Klik onder Inschrijvingsagenten op Toevoegen, typ de namen van de gebruikers of groepen die u wilt configureren en klik op OK. Klik op Iedereen en klik vervolgens op Verwijderen.

  4. Klik onder Certificaatsjablonen op Toevoegen, selecteer de sjabloon voor de certificaten waarvoor deze gebruiker of groep zich moet kunnen inschrijven en klik vervolgens op OK. Herhaal deze stap totdat u alle certificaatsjablonen hebt geselecteerd die u wilt inschakelen voor deze inschrijvingsagent. Als u klaar bent met het toevoegen van de namen van certificaatsjablonen, klikt u op <Alles> en vervolgens op Verwijderen.

  5. Klik onder Machtigingen op Toevoegen, typ de naam van de gebruikers of groepen waarvoor u de gedefinieerde certificaattypen wilt laten beheren door de inschrijvingsagent en klik op OK. Klik op Iedereen en klik vervolgens op Verwijderen.

  6. Als u wilt voorkomen dat de inschrijvingsagent certificaten voor een bepaalde gebruiker, computer of groep kan beheren, selecteert u deze gebruiker, computer of groep onder Machtigingen en klikt u op Weigeren.

  7. Klik op OK of Toepassen als u klaar bent met het configureren van beperkingen voor inschrijvingsagenten.

Opmerking

De gebruiker of groep waarop u beperkingen hebt toegepast, moet een geldig inschrijvingsagentcertificaat voor de CA hebben om als inschrijvingsagent te kunnen fungeren, ongeacht of er beperkte machtigingen voor de inschrijvingsagent zijn geconfigureerd.


Inhoudsopgave