Агент восстановления ключа – это лицо, которому разрешено восстановить сертификат от имени конечного пользователя. Поскольку роль агентов восстановления ключей может касаться важных данных, эту роль можно назначать только заслуживающим доверия лицам.
Чтобы определить агент восстановления ключей, необходимо так настроить шаблон сертификата агента восстановления ключей, чтобы разрешить лицу, которому назначена эта роль, подать заявку на сертификат агента восстановления ключей.
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена или наличие эквивалентных прав. Для получения дополнительных сведений см. Реализация ролевого администрирования.
Настройка шаблона сертификата агента восстановления ключей |
Откройте оснастку "Шаблоны сертификатов".
В дереве консоли щелкните правой кнопкой мыши шаблон сертификата Агент восстановления ключей.
Нажмите кнопку Скопировать шаблон.
В диалоговом окне Копирование шаблона щелкните Windows Server 2003 Enterprise, если не все центры сертификации и клиентские компьютеры работают под управлением операционной системы Windows Server 2008 R2, Windows Server 2008, Windows 7 или Windows Vista.
В поле Шаблон введите новое отображаемое имя шаблона, а затем при необходимости измените все другие свойства.
На вкладке Безопасность нажмите кнопку Добавить, введите имя пользователей, которым нужно выдать сертификаты агентов восстановления ключа, а затем нажмите кнопку ОК.
В списке Имена групп или пользователей выберите только что добавленные имена пользователей. В группе Разрешения установите флажки Чтение и Заявка, затем нажмите кнопку ОК.
Примечание Чтобы повысить уровень безопасности и улучшить управление процессом восстановления ключей, не следует использовать автоматическую регистрацию для сертификатов агентов восстановления ключей.
Прежде чем новый агент восстановления ключа сможет подавать заявку на сертификат на основе созданного нового шаблона сертификата, шаблон сначала необходимо добавить в центр сертификации. Сведения о выполнении этой процедуры см. в разделе «Добавление шаблона сертификата в центр сертификации» (
Если сертификат был настроен с разрешениями на чтение и регистрацию, для получения сертификата восстановления ключа новый агент восстановления ключа должен использовать оснастку "Сертификаты" и мастер импорта сертификатов. Если шаблон сертификата был настроен с разрешениями автоматической регистрации, сертификат будет выдан при следующем подключении пользователя к сети.
Примечание | |
По умолчанию на вкладке Требования выдачи установлен флажок Одобрения диспетчера сертификатов ЦС. Если этот флажок не снят, перед выдачей сертификата агента восстановления ключа диспетчер центра сертификации должен утверждать запрос сертификата. |
Следующая процедура, Включение архивации ключа для центра сертификации, не может быть завершена, пока агент восстановления ключа не получит этот сертификат.