I vissa fall måste en certifikatbegäran signeras digitalt av en giltig registreringsagent eller ett giltigt signeringscertifikat innan en certifikatutfärdare bearbetar begäran.
Viktigt! | |
När en person har ett registreringsagentcertifikat kan han eller hon registrera sig för ett certifikat och generera ett smartkort åt andra användare på företaget. Det resulterande smartkortet kan sedan användas för att logga in på nätverket som den riktiga användaren. På grund av registreringsagentcertifikatets omfattning rekommenderas företag att införa strikta säkerhetsprinciper för dessa certifikat. |
Ett sätt att minska risken för att registreringsagentcertifikat används på fel sätt är att införa en underordnad certifikatutfärdare med mycket snäva administrativa kontrolluppgifter på företaget och vars enda uppgift är att utfärda registreringsagentcertifikat. När de ursprungliga registreringsagentcertifikaten har utfärdats kan administratören hos certifikatutfärdaren blockera möjligheten att utfärda registreringsagentcertifikat, tills den behövs nästa gång.
Genom att begränsa vilka administratörer som har rätt att utfärda certifikat hos den underordnade certifikatutfärdaren, kan tjänsten vid behov tillhandahållas online för att generera och distribuera listor över återkallade certifikat (CRL).
Andra certifikatutfärdare i hierarkin kan fortfarande utfärda registeringsagentcertifikat om principinställningarna ändras. Du kan kontrollera om olämpliga registeringsagentcertifikat har utfärdats genom att regelbundet läsa loggen över utfärdade certifikat från varje utfärdare.
Ytterligare referenser