С помощью станции регистрации смарт-карт назначенный сотрудник или агент может выдавать смарт-карты с одной централизованной рабочей станции или с любого количества назначенных рабочих станцию. Назначение станций регистрации смарт-карт и агентов упрощает физическое приготовление к выдаче карт, уменьшает вероятность сбоев службы сертификатов и предотвращает возможность пользователей и руководителей выдавать самим себе сертификаты и удостоверять их; особенно важным это является в организациях, в которых существуют различные уровни безопасности и доступа.
Подготовка станции регистрации сертификатов смарт-карт
Перед тем, как запросить сертификаты входа со смарт-картой следует выполнить указанные ниже действия:
-
Необходимо настроить и включить в центре сертификации агент регистрации и сертификаты для входа со смарт-картой или сертификаты пользователей смарт-карт.
-
Если необходимо, следует настроить ограничения агента регистрации.
-
Агент регистрации должен получать сертификат агента регистрации от лица других пользователей.
-
Выполните инструкции производителя для установки устройства чтения смарт-карт на компьютере, который будет использоваться для настройки смарт-карт.
В следующих процедурах описано, как зарегистрировать сертификаты смарт-карт от лица других пользователей и как подготовить станцию регистрации, после того как станет доступным сертификат агента регистрации. Эти процедуры можно выполнить на любом компьютере, работающем под управлением операционной системы Windows 7 или Windows Vista, или на рядовом сервере под управлением Windows Server 2008 R2 или Windows Server 2008, который будет использоваться в качестве станции регистрации сертификатов смарт-карт.
Для выполнения этой процедуры необходимо быть, как минимум, членом группы Пользователи и иметь сертификат агента регистрации.
 | Чтобы подать заявку на сертификат от лица других пользователей |
Откройте оснастку "Сертификаты" для пользователя.
Чтобы убедиться в том, что открыто представление Логические хранилища сертификатов , щелкните правой кнопкой мыши Сертификаты - текущий пользователь, укажите Просмотреть, щелкните Параметры, убедитесь, что выбран пункт Логические хранилища сертификатов, а затем нажмите кнопку ОК.
В дереве консоли разверните узел Личные и щелкните пункт Сертификаты.
В меню Действие выберите команду Все задачи, щелкните Дополнительные операции, а затем выберите Регистрация от лица , чтобы открыть мастер регистрации сертификатов. Нажмите кнопку Далее.
Перейдите к сертификату агента регистрации, который будет использоваться для подписания обрабатываемого запроса сертификата. Нажмите кнопку Далее.
Выберите тип запрашиваемого сертификата. Нажмите кнопку Заявка, когда будете готовы отправить запрос.
После успешного завершения работы мастера регистрации сертификатов нажмите кнопку Закрыть.
Чтобы завершить следующую процедуру, необходимо войти в систему в качестве пользователя домена с достаточными правами для добавления оснасток.
| Чтобы подготовить станцию регистрации сертификатов смарт-карт |
Нажмите кнопку Пуск, выберите пункт Выполнить, введите mmc и нажмите кнопку ОК.
В меню Файл выберите команду Добавить или удалить оснастку и нажмите кнопку Добавить.
В Оснастка дважды щелкните Сертификаты.
Щелкните Моя учетная запись пользователя, нажмите кнопку Готово.
Нажмите кнопку Закрыть, затем нажмите кнопку ОК.
Дважды щелкните Сертификаты - текущий пользователь.
В дереве консоли разверните узел Личные.
В меню Действие наведите указатель мыши на пункт Все задачи, а затем нажмите Запросить новый сертификат.
В мастере регистрации сертификатов щелкните шаблон сертификата Агент регистрации и предоставьте необходимые сведения.
При выводе соответствующего запроса мастера щелкните Установка сертификата.
Дополнительные сведения
-
Можно установить сертификат агента регистрации на смарт-карту. Для этого необходимо использовать поставщика службы шифрования производителя смарт-карты при запросе сертификата. (В мастере запроса сертификатов щелкните Дополнительные параметры, чтобы выбрать поставщика службы шифрования смарт-карты для сертификата агента регистрации.)
-
Наличие сертификата агента регистрации позволяет подавать заявки на получение сертификатов и создавать смарт-карты от имени любого пользователя в организации. Полученная таким образом смарт-карта может затем использоваться для входа в сеть под именем пользователя без его ведома. Поэтому организациям рекомендуется придерживаться очень строгих политик безопасности для ограничения использования сертификатов агента регистрации.
Дополнительные источники информации
-
Сведения о настройке шаблона сертификата агента регистрации для выдачи из центра сертификации см. в разделе «Управление шаблонами сертификатов» (
https://go.microsoft.com/fwlink/?LinkId=142230 ).
-
Сведения о настройке ограниченного агента регистрации см. в разделе Установка ограничений агентов регистрации.