注册代理是可以代表其他客户端注册证书的用户。与证书管理员不同,注册代理只能处理注册请求,不能批准挂起的请求或吊销已颁发的证书。
Windows Server 2008 R2 包含三种启用不同类型注册代理的证书模板:
-
“注册代理”。用于代表其他使用者申请证书。
-
“注册代理(计算机)”。用于代表其他计算机使用者请求证书。
-
“交换注册代理(脱机请求)”。用于代表其他使用者申请证书,并在申请中提供使用者名称。此模板由网络设备注册服务用于其注册代理证书。
创建注册代理时,可以进一步细化代理代表他人按组和按证书模板注册证书的能力。例如,您可能希望对特定办公室或成为安全组基础的组织单位内的用户实现注册代理只能为智能卡登录证书注册的限制。
此限制基于针对证书颁发机构 (CA) 以及具有 CA 中该证书模板的“注册”权限的用户组而启用的证书模板子集。
 | 重要 |
|
只能在基于 Windows Server 2008 的 CA 上应用注册代理限制。还必须正确配置注册代理策略。 |
您必须是 CA 管理员或 Enterprise Admins 的成员或具有同等身份,才能完成此过程。有关详细信息,请参阅实现基于角色的管理。
 | 配置 CA 的注册代理限制的步骤 |
打开证书颁发机构管理单元,右键单击 CA 的名称,然后单击“属性”。
对出现的消息依次单击“注册代理”选项卡、“限制注册代理”和“确定”。
在“注册代理”下,单击“添加”,键入要配置的用户或组的名称,然后单击“确定”。单击“所有人”,然后单击“删除”。
在“证书模板”下,单击“添加”,为希望此用户或组可以从中注册的证书选择模板,然后单击“确定”。重复此步骤,直到您已选择要为此注册代理启用的所有证书模板。当您已经完成添加证书模板的名称时,单击“<所有>”,然后单击“删除”。
在“权限”下,单击“添加”,键入希望注册代理管理其已定义证书类型的用户或组的名称,然后单击“确定”。单击“所有人”,然后单击“删除”。
如果希望阻止注册代理管理用户、计算机或组的证书,请在“权限”下,选择此用户、计算机或组,然后单击“拒绝”。
完成配置注册代理限制时,单击“确定”或“应用”。
 | 注意 |
|
应用注册代理限制的用户或组必须具有 CA 的有效注册代理证书,才能充当注册代理,而无论是否已经配置受限注册代理权限。 |