Agent odzyskiwania kluczy to osoba upoważniona do odzyskania certyfikatu w imieniu użytkownika końcowego. Ponieważ agenci odzyskiwania kluczy mają do czynienia z danymi poufnymi, rolę tę powinny pełnić osoby obdarzone dużym zaufaniem.

W celu zidentyfikowania agenta odzyskiwania kluczy należy skonfigurować szablon certyfikatu agenta odzyskiwania kluczy, aby umożliwić osobie wyznaczonej do tej roli zarejestrowanie certyfikatu agenta odzyskiwania kluczy.

Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Administratorzy domeny lub równoważnej. Aby uzyskać więcej informacji, zobacz temat Implementowanie administrowania opartego na rolach.

Aby skonfigurować szablon certyfikatu agenta odzyskiwania kluczy
  1. Otwórz przystawkę Szablony certyfikatów.

  2. W drzewie konsoli kliknij prawym przyciskiem myszy szablon certyfikatu Agent odzyskiwania kluczy.

  3. Kliknij polecenie Duplikuj szablon.

  4. W oknie dialogowym Duplikowanie szablonu kliknij opcję Windows Server 2003 Enterprise, chyba że wszystkie urzędy certyfikacji i komputery klienckie korzystają z systemu Windows Server 2008 R2, Windows Server 2008, Windows 7 lub Windows Vista.

  5. W polu Szablon wpisz wyświetlaną nazwę nowego szablonu, a następnie zmodyfikuj odpowiednio do potrzeb dowolne pozostałe właściwości opcjonalne.

  6. Na karcie Zabezpieczenia kliknij przycisk Dodaj, wpisz nazwy użytkowników, dla których mają zostać wystawione certyfikaty agenta odzyskiwania kluczy, a następnie kliknij przycisk OK.

  7. W obszarze Nazwy grup lub użytkowników wybierz dodane przez siebie nazwy użytkowników. W obszarze Uprawnienia zaznacz pola wyboru Odczyt i Rejestrowanie, a następnie kliknij przycisk OK.

    Uwaga

    W celu zwiększenia zabezpieczeń oraz kontroli nad procesem odzyskiwania kluczy zaleca się, aby w przypadku certyfikatów agentów odzyskiwania kluczy nie korzystać z autorejestrowania.

Zanim agent odzyskiwania kluczy będzie mógł zarejestrować certyfikat na podstawie nowo utworzonego szablonu certyfikatu, szablon należy dodać do urzędu certyfikacji. Aby uzyskać informacje na temat wykonywania tej procedury, zobacz sekcję dotyczącą dodawania szablonu certyfikatu do urzędu certyfikacji (https://go.microsoft.com/fwlink/?LinkId=147110 (strona może zostać wyświetlona w języku angielskim)).

Jeśli certyfikat został skonfigurowany z uprawnieniami Odczyt i Rejestrowanie się, w celu uzyskania certyfikatu odzyskiwania kluczy nowy agent odzyskiwania kluczy musi użyć przystawki Certyfikaty oraz Kreatora importu certyfikatów. Jeśli szablon certyfikatu został skonfigurowany z uprawnieniami Autorejestrowanie, certyfikat zostanie wystawiony automatycznie przy następnym zalogowaniu się użytkownika do sieci.

Uwaga

Pole wyboru Zgoda menedżera certyfikatów urzędu certyfikacji na karcie Wymagania wystawiania jest domyślnie zaznaczone. Dopóki to pole wyboru nie zostanie wyczyszczone, menedżer urzędu certyfikacji będzie musiał zatwierdzić żądanie certyfikatu przed wystawieniem certyfikatu agenta odzyskiwania kluczy.

Następnej procedury (Włączanie archiwizacji kluczy dla urzędu certyfikacji) nie będzie można wykonać, dopóki agent odzyskiwania kluczy nie uzyska tego certyfikatu.


Spis treści