Agent rejestracji to użytkownik, który może się zarejestrować w celu uzyskania certyfikatu w imieniu innego klienta. W odróżnieniu od menedżera certyfikatów agent rejestracji może tylko przetwarzać żądania rejestracji i nie może zatwierdzać żądań oczekujących ani odwoływać wydanych certyfikatów.

W systemie Windows Server 2008 R2 znajdują się trzy szablony certyfikatów, które oferują agentów rejestracji różnych typów:

  • Agent rejestracji. Używany do żądania certyfikatów w imieniu innego podmiotu.

  • Agent rejestracji (komputer). Używany do żądania certyfikatów w imieniu innego podmiotu komputera.

  • Agent rejestracji programu Exchange (żądanie offline). Używany do żądania certyfikatów w imieniu innego podmiotu i podawania nazwy podmiotu w żądaniu. Ten szablon jest używany przez Usługę rejestracji urządzeń sieciowych na potrzeby jej certyfikatu agenta rejestracji.

Po utworzeniu agenta rejestracji można zawęzić kryteria rejestrowania przez niego certyfikatów w imieniu innych użytkowników do rejestrowania według grup lub szablonów certyfikatów. Można na przykład zaimplementować ograniczenie, które pozwoli agentowi rejestracji tylko na rejestrowanie certyfikatów logowania karty inteligentnej w przypadku użytkowników z określonego biura lub określonej jednostki organizacyjnej, które są podstawą grupy zabezpieczeń.

Ograniczenie to opiera się na podzbiorze szablonów certyfikatów dostępnych dla urzędu certyfikacji i grupach użytkowników mających uprawnienia Rejestrowanie się dla szablonu certyfikatu z tego urzędu certyfikacji.

Ważne

Ograniczenia agenta rejestracji można stosować tylko w przypadku urzędów certyfikacji opartych na systemie Windows Server 2008. Należy także poprawnie skonfigurować zasady agenta rejestracji.

Aby wykonać tę procedurę, użytkownik musi być administratorem urzędu certyfikacji bądź członkiem grupy Administratorzy przedsiębiorstwa lub równoważnej. Aby uzyskać więcej informacji, zobacz temat Implementowanie administrowania opartego na rolach.

Aby skonfigurować ograniczenia agenta rejestracji dla urzędu certyfikacji
  1. Otwórz przystawkę Urząd certyfikacji, kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji, a następnie kliknij polecenie Właściwości.

  2. Kliknij kartę Agenci rejestracji, kliknij opcję Ograniczaj agentów rejestracji, a następnie w wyświetlonym oknie komunikatu kliknij przycisk OK.

  3. W obszarze Agenci rejestracji kliknij przycisk Dodaj, wpisz nazwy użytkowników lub grup do skonfigurowania, a następnie kliknij przycisk OK. Kliknij opcję Wszyscy, a następnie kliknij przycisk Usuń.

  4. W obszarze Szablony certyfikatów kliknij przycisk Dodaj, wybierz szablon dla certyfikatów, z których będzie możliwe rejestrowanie się użytkownika lub grupy, a następnie kliknij przycisk OK. Powtarzaj ten krok, aż wybierzesz wszystkie szablony certyfikatów, które mają być dostępne dla tego agenta rejestracji. Po zakończeniu dodawania nazw szablonów certyfikatów kliknij opcję <Wszyscy>, a następnie kliknij przycisk Usuń.

  5. W obszarze Uprawnienia kliknij przycisk Dodaj, wpisz nazwy użytkowników lub grup, których zdefiniowanymi typami certyfikatów ma zarządzać agent rejestracji, a następnie kliknij przycisk OK. Kliknij opcję Wszyscy, a następnie kliknij przycisk Usuń.

  6. Aby uniemożliwić agentowi rejestracji zarządzanie certyfikatami dla użytkownika, komputera lub grupy, w obszarze Uprawnienia wybierz użytkownika, komputer lub grupę, a następnie kliknij przycisk Odmów.

  7. Po zakończeniu konfigurowania ograniczeń agenta rejestracji kliknij przycisk OK lub Zastosuj.

Uwaga

Użytkownicy lub grupy, do których zastosowano ograniczenia agenta rejestracji mogą pełnić funkcję agenta rejestracji pod warunkiem, że mają ważny certyfikat agenta rejestracji dla danego urzędu certyfikacji - niezależnie od tego, czy uprawnienia ograniczonego agenta rejestracji zostały skonfigurowane, czy nie.


Spis treści