O agente de recuperação de chave é uma pessoa autorizada a recuperar um certificado em nome de um usuário final. Como a função dos agentes de recuperação de chave pode envolver dados confidenciais, somente os indivíduos altamente confiáveis devem ter essa função.

Para identificar um agente de recuperação de chave, é necessário configurar o modelo de certificado de Agente de Recuperação de Chave, de forma a permitir que a pessoa a quem essa função for atribuída seja registrada para o certificado de agente de recuperação de chave.

Ser membro do grupo Admins. do Domínio, ou equivalente, é o mínimo necessário para concluir esse procedimento. Para obter mais informações, consulte Implementar a administração baseada em função.

Para configurar o modelo de certificado de Agente de Recuperação de Chave
  1. Abra o snap-in Modelos de Certificados.

  2. Na árvore de console, clique com o botão direito do mouse no modelo de certificado Agente de Recuperação de Chave.

  3. Clique em Duplicar modelo.

  4. Na caixa de diálogo Modelo Duplicado, clique em Windows Server 2003 Enterprise, a não ser que todas as autoridades de certificação e os computadores cliente estejam executando o Windows Server 2008 R2, o Windows Server 2008, o Windows 7 ou o Windows Vista.

  5. Em Modelo, digite um nome para exibição do novo modelo e, em seguida, modifique outras propriedades opcionais, conforme necessário.

  6. Na guia Segurança, clique em Adicionar, digite o nome dos usuários para os quais serão emitidos certificados de agente de recuperação de chave e, em seguida, clique em OK.

  7. Em Nomes de grupo ou de usuário, selecione os nomes de usuário adicionados recentemente. Em Permissões, marque as caixas de seleção Leitura e Registrar. Em seguida, clique em OK.

    Observação

    Para aprimorar a segurança e controlar o processo de recuperação de chave, você não deve usar inscrição automática para certificados de agente de recuperação de chave.

Antes que um novo agente de recuperação de chave possa ser registrado para um certificado com base no novo modelo de certificado criado, é necessário que o modelo seja adicionado à autoridade de certificação primeiro. Para obter informações sobre como realizar o procedimento, consulte Adicionar um Modelo de Certificado a uma Autoridade de Certificação (https://go.microsoft.com/fwlink/?LinkId=147110) (em inglês).

Se o certificado foi configurado com as permissões de Leitura e Registro, o novo agente de recuperação de chave deve usar o snap-in de certificados e o Assistente para Importação de Certificados, a fim de obter um certificado de recuperação de chave. Se o modelo de certificado foi configurado com as permissões de registro automático, o certificado será emitido automaticamente na próxima vez que o usuário efetuar logon na rede.

Observação

Por padrão, a caixa de seleção Aprovação do gerenciador de certificados de autoridade de certificação estará marcada na guia Requisitos de Emissão. A não ser que você desmarque essa caixa de seleção, um gerenciador de autoridades de certificados deverá aprovar a solicitação antes da emissão do certificado de agente de recuperação de chave.

O próximo procedimento, Habilitar arquivamento de chave para uma Autoridade de Certificação, não pode ser concluído até que o agente de recuperação de chave tenha obtido esse certificado.


Sumário