密钥恢复代理是被授权为代表最终用户恢复证书的人。由于密钥恢复代理的角色可能包含敏感数据,因此应该将该角色仅分配给受到高度信任的个人。

若要识别密钥恢复代理,必须将密钥恢复代理证书模板配置为允许已分配该角色的人员注册密钥恢复代理证书。

Domain Admins 中的成员身份或等效身份是完成此步骤所需的最低要求。有关详细信息,请参阅实现基于角色的管理

配置密钥恢复代理证书模板的步骤
  1. 打开“证书模板”管理单元。

  2. 在控制台树中,右键单击“密钥恢复代理”证书模板。

  3. 单击“复制模板”

  4. “复制模板”对话框中,单击 Windows Server 2003 Enterprise,除非所有证书颁发机构 (CA) 和客户端计算机都在运行 Windows Server 2008 R2、Windows Server 2008、Windows 7 或 Windows Vista。

  5. “模板”中,键入新模板显示名称,然后根据需要修改任何其他可选属性。

  6. “安全”选项卡上,单击“添加”,键入要将密钥恢复代理证书颁发到的用户的名称,然后单击“确定”

  7. “组或用户名”下,选择刚添加的用户名。在“权限”下,选中“读取”“注册”复选框,然后单击“确定”

    注意

    若要增强密钥恢复过程的安全性和控制,则不应该对密钥恢复代理证书使用自动注册。

在新的密钥恢复代理可以根据您创建的新证书模板注册证书之前,必须首先将模板添加到 CA 中。有关如何完成此过程的信息,请参阅向证书颁发机构添加证书模板 (https://go.microsoft.com/fwlink/?LinkId=147110)(可能为英文网页)。

如果证书使用“读取”和“注册”权限进行配置,则新的密钥恢复代理必须使用证书管理单元和证书导入向导获取密钥恢复证书。如果证书模板使用“自动注册”权限进行配置,则将在下次用户登录到网络时自动颁发证书。

注意

默认情况下,“CA 证书管理程序批准”复选框在“发布要求”选项卡上处于选中状态。除非您清除此复选框,颁发密钥恢复代理证书之前,CA 管理器必须批准证书申请。

下一步骤为 CA 启用密钥存档在密钥恢复代理获取此证书之前无法完成。


目录