Met een inschrijvingsstation voor smartcards kan een hiertoe aangewezen medewerker of agent smartcards verlenen vanaf één centraal werkstation of vanaf een willekeurig aantal hiertoe aangewezen werkstations. Door inschrijvingsstations en -agenten in te stellen vereenvoudigt u de fysieke voorbereiding van de kaart die moet worden verleend, verkleint u de kans op onderbreking van de certificaatservice en voorkomt u dat gebruikers en managers hun eigen identiteit valideren en hun eigen certificaten verlenen, met name in organisaties of omgevingen waarin verschillende beveiligings- en toegangsniveaus bestaan.
Een inschrijvingsstation voor smartcardcertificaten voorbereiden
Voordat u certificaten voor aanmelding via smartcards aanvraagt voor gebruikers:
-
De inschrijvingsagent en de certificaten voor smartcardaanmelding of smartcardgebruikers moeten zijn geconfigureerd en ingeschakeld voor de certificeringsinstantie (CA).
-
Indien gewenst moeten beperkingen voor de inschrijvingsagent worden geconfigureerd.
-
De inschrijvingsagent moet ten behoeve van andere gebruikers worden ingeschreven op het inschrijvingsagentcertificaat.
-
Volg de instructies van de fabrikant om een smartcardlezer te installeren op de computer die u wilt gebruiken voor de instelling van smartcards.
In de volgende procedures wordt beschreven hoe u iemand ten behoeve van andere gebruikers inschrijft op smartcardcertificaten en hoe u het inschrijvingsstation voorbereidt zodra het inschrijvingsagentcertificaat beschikbaar is. Deze procedures kunnen worden uitgevoerd op elke computer waarop Windows 7 of Windows Vista wordt uitgevoerd, of op een Windows Server 2008 R2- of Windows Server 2008-lidserver die u wilt gebruiken als inschrijvingsstation voor smartcardcertificaten.
U moet minimaal lid zijn van de groep Gebruikers en een inschrijvingsagentcertificaat hebben om deze procedure te kunnen uitvoeren.
 | Inschrijven voor een certificaat ten behoeve van andere gebruikers |
Open de module Certificaten voor een gebruiker.
Controleer of de weergave Logische certificaatarchieven actief is door met de rechtermuisknop op Certificaten - Huidige gebruiker te klikken, Weergave aan te wijzen en op Opties te klikken. Als Logische certificaatarchieven is geselecteerd, klikt u op OK.
Vouw in de consolestructuur het archief Persoonlijk uit en klik op Certificaten.
Wijs Alle taken aan in het menu Actie, klik op Geavanceerde bewerkingen en klik op Inschrijven voor om de wizard Certificaat inschrijven te openen. Klik op Volgende.
Blader naar het inschrijvingsagentcertificaat dat u gaat gebruiken om de desbetreffende certificaataanvraag te ondertekenen. Klik op Volgende.
Selecteer het type certificaat waarvoor u zich wilt inschrijven. Klik op Inschrijven als u klaar bent om een certificaat aan te vragen.
Als de wizard Certificaat inschrijven is voltooid, klikt u op Sluiten.
Voor de volgende procedure moet u zijn aangemeld als een domeingebruiker die bevoegd is om modules toe te voegen.
| Een inschrijvingsstation voor smartcardcertificaten voorbereiden |
Klik in het menu Start op Uitvoeren, typ mmc en klik op OK.
Klik in het menu Bestand op Module toevoegen/verwijderen en klik op Toevoegen.
Dubbelklik onder Module op Certificaten.
Klik op Mijn gebruikersaccount en klik vervolgens op Voltooien.
Klik op Sluiten en op OK.
Dubbelklik op de map Certificaten - Huidige gebruiker.
Klik in de consolestructuur op Persoonlijk.
Wijs Alle taken aan in het menu Actie en klik op Nieuw certificaat aanvragen.
Klik in de wizard Certificaat inschrijven op de certificaatsjabloon Inschrijvingsagent en geef de gevraagde gegevens op.
Klik op Certificaat installeren als dit wordt gevraagd door de wizard Certificaat inschrijven.
Aanvullende overwegingen
-
U kunt het inschrijvingsagentcertificaat op een smartcard installeren. U moet dan de cryptografieprovider (CSP) van de smartcardfabrikant gebruiken wanneer u het certificaat aanvraagt. (Klik in de wizard Certificaat aanvragen op Geavanceerde opties om een smartcard-CSP te selecteren voor het inschrijvingsagentcertificaat.)
-
Als een gebruiker een inschrijvingsagentcertificaat heeft, kan die gebruiker zich inschrijven voor een certificaat en een smartcard genereren ten behoeve van iedereen binnen de organisatie. De gegenereerde smartcard zou dan door iemand anders kunnen worden gebruikt om zich bij het netwerk aan te melden en de identiteit van de werkelijke gebruiker aan te nemen. Het is daarom van groot belang dat in uw organisatie een zeer strikt beveiligingsbeleid wordt toegepast om het gebruik van inschrijvingsagentcertificaten te beperken.
Aanvullende naslaginformatie
-
Zie Certificaatsjablonen beheren (
https://go.microsoft.com/fwlink/?LinkId=142230 (de pagina is mogelijk Engelstalig) ) om een certificaatsjabloon voor inschrijvingsagenten te configureren voor verlening door een certificeringsinstantie.
-
Zie Beperkte inschrijvingsagenten tot stand brengen als u beperkingen wilt configureren voor een inschrijvingsagent.