Em alguns casos, os pedidos de certificado devem ser assinados digitalmente mediante a utilização de um certificado de Agente de Inscrição ou de Assinatura válidos antes de serem processados pela AC (autoridade de certificação).
 | Importante |
|
Assim que alguém obtenha um certificado de Agente de Inscrição, essa pessoa pode inscrever-se para um certificado e gerar um smart card em nome de qualquer pessoa na organização. O smart card emitido poderá, assim, ser utilizado para iniciar sessão na rede e para apropriação da identidade do utilizador real. Devido às capacidades avançadas do certificado Enrollment Agent, recomenda-se vivamente que a organização mantenha políticas de segurança muito restritas sobre quem possui estes certificados. |
Uma forma de minimizar o risco da utilização incorrecta do certificado de Agente de Inscrição será a de existir na organização uma AC subordinada com controlos administrativos muitos restritos que seja apenas utilizada para emitir certificados de Agente de Inscrição. Assim que os certificados de Agente de Inscrição iniciais tenham sido emitidos, o administrador da AC pode desactivar a emissão de certificados de Agente de Inscrição até que volte a ser necessária.
Ao restringir os administradores que podem utilizar o serviço AC na AC subordinada, o serviço pode ser mantido online para gerar e distribuir CRLs (listas de revogação de certificado), se necessário.
Outras AC na hierarquia ainda podem emitir certificados de Agente de Inscrição se as respectivas definições de política forem alteradas mas é possível determinar se são emitidos certificados de Agente de Inscrição inadequados verificando regularmente o registo de Certificados Emitidos para cada AC.
Referências adicionais