En registreringsagent är en användare som kan registrera certifikat åt en annan klient. Till skillnad från en certifikathanterare kan en registreringsagent endast hantera registreringsbegäran men inte godkänna väntande begäranden eller återkalla utfärdade certifikat.

Windows Server 2008 R2 har följande tre certifikatmallar för olika typer av registreringsagenter:

  • Registreringsagent. Används vid begäran av certifikat för ett annat ämnes räkning.

  • Registreringsagenten (dator). Används vid begäran av certifikat för en annan dators räkning.

  • Exchange-registreringsagent (offlinebegäran). Används vid begäran av certifikat för ett annat ämnes räkning där ämnesnamnet uppges i begäran. Den här mallen används av Registreringstjänsten för nätverksenheter för registreringsagentens certifikat.

När du skapar en registreringsagent kan du förfina agentens möjlighet att utfärda certifikat för andra per grupp och per certifikatmall. Du kanske vill införa en begränsning så att registreringsagenten endast kan godkänna certifikat för inloggning med smartkort för användare på ett specifikt kontor eller för en viss organisationsenhet som utgör en säkerhetsgrupp.

Den här begränsningen baseras på en del av de certifikatmallar som har aktiverats för certifikatutfärdaren (CA) och den användargrupp som har registreringsbehörighet för aktuell certifikatmall från den certifikatutfärdaren.

Viktigt!

Du kan endast tillämpa begränsningar för en registreringsagent på Windows Server 2008-baserade certifikatutfärdare. Registreringsagentprincipen måste också konfigureras på rätt sätt.

Du måste vara CA-administratör eller tillhöra gruppen Företagsadministratörer eller motsvarande om du ska kunna göra det. Mer information finns i Implementera rollbaserad administration.

Så här konfigurerar du begränsningar för registreringsagenten för en certifikatutfärdare:

  1. Öppna snapin-modulen Certifikatutfärdare, högerklicka på certifikatutfärdaren och klicka sedan på Egenskaper.

  2. Klicka på fliken Registreringsagenter , Begränsa registreringsagenter och sedan på OK på meddelandet som visas.

  3. Under Registreringsagenter klickar du på Lägg till, skriver namnen på de användare eller grupper du vill konfigurera och klickar sedan på OK. Klicka på Alla och klicka sedan på Ta bort.

  4. Under Certifikatmallar klickar du på Lägg till, markerar mallen för de certifikat som användaren eller gruppen ska kunna registreras ifrån och klickar sedan på OK. Upprepa det här steget tills du har valt alla certifikatmallar som ska aktiveras för registreringsagenten. När du har lagt till namnen på certifikatmallarna klickar du på <Alla> och sedan på Ta bort.

  5. Under Behörigheter klickar du på Lägg till, anger namnet på de användare eller grupper som du vill att registreringsagenten ska kunna hantera certifikattyperna för och klickar sedan på OK. Klicka på Alla och klicka sedan på Ta bort.

  6. Om du inte vill att registreringsagenten ska kunna hantera certifikat för en speciell användare, dator eller grupp markerar du användaren, datorn eller gruppen under Behörigheter och klickar sedan påNeka.

  7. När du är klar klickar du på OK eller Verkställ.
OBS

Den användare eller grupp som du tillämpar begränsningarna för registreringsagenten på måste ha ett giltigt registreringsagentcertifikat för certifikatutfärdaren innan de kan agera som registreringsagenter oavsett om begräsningar har konfigurerats eller inte.

Ytterligare referenser

Innehåll