W niektórych przypadkach warunkiem przetworzenia żądania certyfikatu przez urząd certyfikacji jest cyfrowe podpisanie tego żądania przy użyciu prawidłowego agenta rejestracji lub certyfikatu podpisywania.

Ważne

Osoba, która ma certyfikat agenta rejestracji, może rejestrować certyfikaty i generować kartę inteligentną w imieniu wszystkich użytkowników w organizacji. Utworzona karta inteligentna może być użyta do zalogowania się do sieci i podszycia się pod rzeczywistego użytkownika. Ze względu na zaawansowane możliwości certyfikatu agenta rejestracji zdecydowanie zaleca się wdrożenie w organizacji bardzo rygorystycznych zasad zabezpieczeń tych certyfikatów.

Jeden ze sposobów zminimalizowania ryzyka nadużycia certyfikatu agenta rejestracji polega na utworzeniu w organizacji jednego podrzędnego urzędu certyfikacji z bardzo rygorystyczną kontrolą administracyjną. Tylko ten urząd certyfikacji będzie wystawiał certyfikaty agenta rejestracji. Po wystawieniu początkowych certyfikatów agenta rejestracji administrator urzędu certyfikacji może wyłączyć możliwość wystawiania certyfikatów agenta rejestracji do momentu pojawienia się zapotrzebowania.

Po ograniczeniu przez administratorów liczby osób obsługujących usługę urzędu certyfikacji w podrzędnym urzędzie certyfikacji usługa może być dostępna w trybie online do generowania i rozpowszechniania list odwołania certyfikatów (CRL, Certificate Revocation List), jeżeli jest to niezbędne.

Inne urzędy certyfikacji w hierarchii mogą nadal wystawiać certyfikaty agenta rejestracji, jeżeli ustawienia ich zasad zostaną zmienione, a fakt wystawienia niewłaściwych certyfikatów można sprawdzić, regularnie weryfikując dziennik zdarzeń wystawionych certyfikatów w każdym urzędzie certyfikacji.

Dodatkowe informacje


Spis treści