Em alguns casos, solicitações de certificado devem ser assinadas digitalmente usando um certificado válido de Agente de Inscrição ou de Autenticação, para que a autoridade de certificação processe a solicitação

Importante

Uma vez de posse de um certificado de Agente de Inscrição, essa pessoa pode inscrever-se para um certificado e gerar um cartão inteligente em nome de qualquer outra pessoa da organização. O cartão inteligente resultante pode então ser utilizado para fazer logon na rede e tomar o lugar do usuário real. Devido à grande capacidade do certificado de agente de inscrição, é altamente recomendável que a organização mantenha políticas de segurança rígidas em relação aos proprietários de um desses certificados.

Um cenário para minimizar o risco de uso indevido do certificado de Agente de Inscrição seria ter uma autoridade de certificação subordinada com controles administrativos muito rígidos na organização, utilizada somente para emitir certificados de Agente de Inscrição. Após serem emitidos os certificados iniciais do Agente de Inscrição, o administrador da autoridade de certificação pode desativar a emissão de certificados de Agente de Inscrição até que eles voltem a ser necessários.

Ao restringir os administradores que podem operar o serviço da autoridade de certificação subordinada, o serviço pode ser mantido on-line para geração e distribuição de listas de certificados revogados se necessário.

Outras autoridades de certificação da hierarquia ainda poderão emitir certificados de agente de inscrição se suas configurações de políticas forem alteradas, mas você pode determinar a emissão de certificados inapropriados de agente de inscrição verificando regularmente o log de certificados emitidos para cada autoridade de certificação.

Referência adicional


Sumário