Um agente de recuperação de chaves é uma pessoa que está autorizada a recuperar um certificado em nome de um utilizador final. Dado que a função dos agentes de recuperação de chaves pode envolver dados sensíveis, apenas se deve atribuir esta função a indivíduos altamente fiáveis.
Para identificar um agente de recuperação de chaves, tem de configurar o modelo de certificado do Key Recovery Agent para permitir que a pessoa atribuída a esta função seja inscrita para obtenção de um certificado de agente de recuperação de chaves.
É necessário ser, pelo menos, membro do grupo Admins do Domínio, ou equivalente, para concluir este procedimento. Para obter mais informações, consulte Implementar Administração Baseada em Funções.
Para configurar o modelo de certificado de Key Recovery Agent |
Abra o snap-in Modelos de Certificado.
Na árvore da consola, clique com o botão direito do rato no modelo de certificado Key Recovery Agent.
Clique em Modelo Duplicado.
Na caixa de diálogo Modelo Duplicado, clique em Windows Server 2003 Enterprise, a menos que todas as autoridades de certificação (ACs) e computadores clientes estejam a executar o Windows Server 2008 R2, Windows Server 2008, Windows 7 ou o Windows Vista.
Em Modelo, escreva um novo nome de apresentação para o modelo e modifique quaisquer outras propriedades opcionais, conforme necessário.
No separador Segurança, clique em Adicionar, escreva o nome dos utilizadores a quem pretende emitir os certificados de agente de recuperação de chaves e, em seguida, clique em OK.
Em Nomes de grupos ou utilizadores, seleccione os nomes de utilizador que acabou de adicionar. Em Permissões, seleccione as caixas de verificação Ler e Inscrever e clique em OK.
Nota Para aumentar a segurança e o controlo do processo de recuperação de chaves, não deve utilizar a inscrição automática para certificados de agente de recuperação de chaves.
Para que o novo agente de recuperação de chaves se possa inscrever para um certificado baseado no novo modelo de certificado que o utilizador criou, o modelo tem de ser adicionado à AC. Para obter informações sobre como concluir este procedimento, consulte Adicionar um Modelo de Certificado a uma Autoridade de Certificação
Se o certificado foi configurado com permissões de leitura e de inscrição, o novo agente de recuperação de chaves tem de utilizar o snap-in de certificados e o Assistente para Importar Certificados para obter um certificado de recuperação de chaves. Se o modelo de certificado foi configurado com permissões de inscrição automática, o certificado será emitido automaticamente da próxima vez que o utilizador iniciar sessão na rede.
Nota | |
Por predefinição, a caixa de verificação Aprovação do gestor de certificados da CA está seleccionada no separador Requisitos de Emissão. A menos que desmarque esta caixa, um gestor de AC tem de aprovar o pedido de certificado antes da emissão de um certificado de agente de recuperação de chaves. |
O procedimento seguinte, Activar o Arquivo de Chaves Para Uma AC, não pode ser concluído enquanto o agente de recuperação de chaves não tiver obtido este certificado.