Um agente de inscrição consiste em um usuário, que pode se inscrever para um certificado em nome de outro cliente. Ao contrário do gerenciador de certificados, o agente de inscrição pode apenas processar a solicitação de inscrição e não aprovar solicitações pendentes ou revogar certificados emitidos.

O Windows Server 2008 R2 inclui três modelos de certificado, que permitem tipos de agentes de inscrição diferentes:

  • Agente de inscrição. Usado para solicitar certificados em nome de outra entidade.

  • Agente de inscrição (Computador). Usado para solicitar certificados em nome de outra entidade de computador.

  • Agente de Inscrição do Exchange (solicitação offline). Usado para solicitar certificados em nome de outra entidade e fornecer o nome da entidade na solicitação. Esse modelo é usado pelo Serviço de Registro do Dispositivo de Rede para o certificado do seu agente de inscrição.

Quando você criar um agente de inscrição, é possível refinar ainda mais a capacidade do agente para a inscrição de certificados em nome de outros, por grupo e por modelo de certificado. Por exemplo, é possível implementar uma restrição, de forma que o agente só possa efetuar a inscrição para certificados de logon de cartão inteligente para usuários de determinada unidade organizacional ou escritório, que sirva de base para o grupo de segurança.

Essa restrição é baseada num subconjunto de modelos de certificados permitidos para a autoridade de certificação e os grupos de usuários com permissões para Registro do modelo do certificado em questão.

Importante

Só é possível aplicar restrições aos agentes de inscrição em autoridades de certificação baseadas no Windows Server 2008. A diretiva do Agente de Inscrição também deve ser configurada apropriadamente.

Para concluir esse procedimento, é necessário ser um administrador de autoridades de certificação ou membro do grupo Administradores Corporativos, ou equivalente. Para obter mais informações, consulte Implementar a administração baseada em função.

Para configurar as restrições do agente de inscrição para uma autoridade de certificação,
  1. Abra o snap-in Autoridade de Certificação, clique com o botão direito no nome da autoridade de certificação e, em seguida, clique em Propriedades.

  2. Clique na guia Agentes de Inscrição e, em seguida, em Restringir Agentes de Inscrição e clique em OK na mensagem exibida.

  3. Em Agentes de Inscrição, clique em Adicionar, digite os nomes dos usuários ou grupos a serem configurados e, em seguida, clique em OK. Clique em Todos e em Remover.

  4. Em Modelos de Certificado, clique em Adicionar, selecione o modelo dos certificados a serem utilizados para inscrição deste usuário ou grupo e, em seguida, clique em OK. Repita esta etapa até que todos os modelos de certificado a serem permitidos para este agente de inscrição tenham sido selecionados. Quando você terminar de adicionar os nomes dos modelos de certificados, clique em <Todos> e, em seguida, clique em Remover.

  5. EmPermissões, clique em Adicionar, digite os nomes dos usuários ou grupos para os quais o agente de inscrição administrará os tipos de certificado definidos e, em seguida, clique em OK. Clique em Todos e em Remover.

  6. Para impedir que o agente de inscrição administre certificados de um determinado usuário, computador ou grupo, selecione o respectivo usuário, computador ou grupo em Permissões e, em seguida, clique em Negar.

  7. Depois de encerrar a configuração das restrições do agente de inscrição, clique em OK ou Aplicar.

Observação

O usuário ou grupo ao qual as restrições do agente de inscrição foram aplicadas deve apresentar um certificado de agente de inscrição válido para a autoridade de certificação, antes de atuar como agente de inscrição, independente da configuração ou não de permissões de agente de inscrição restrito.


Sumário