使用智能卡注册站,指定的员工或代理可以从中央工作站或任何一个指定的工作站颁发智能卡。指定注册站和代理简化了智能卡颁发的物理准备,降低了证书服务中断的机率,并可阻止用户和管理器验证自己的身份和颁发自己的证书,尤其是对于具有不同安全和访问级别的组织或环境。
准备智能卡证书注册站
为用户申请智能卡登录证书之前:
-
必须为证书颁发机构 (CA) 配置并启用注册代理和智能卡登录或智能卡用户证书。
-
如果需要,还可以配置注册代理限制。
-
必须代表其他用户为注册代理注册注册代理证书。
-
在将用于安装智能卡的计算机上,请按照制造商的说明安装智能卡读卡器。
以下过程解释如何代表其他用户注册智能卡证书以及在注册代理证书生效后如何准备注册站。可以在任何运行 Windows 7 或 Windows Vista 的计算机上,或者在要用作智能卡证书注册站的 Windows Server 2008 R2 或 Windows Server 2008 成员服务器上完成这些过程。
Users 组中的成员身份和注册代理证书是完成此过程的最低要求。
代表其他用户注册证书的步骤 |
打开用户的“证书”管理单元。
若要确认自己位于“逻辑证书存储”视图中,请右键单击“证书 - 当前用户”,指向“视图”,单击“选项”,验证是否选择了“逻辑证书存储”,然后单击“确定”。
在控制台树中,展开“个人”存储区,然后单击“证书”。
在“操作”菜单上,指向“所有任务”,单击“高级操作”,然后单击“注册代表”,从而打开证书注册向导。单击“下一步”。
浏览到将用于对要处理的证书申请进行签名的注册代理证书。单击“下一步”。
选择要注册的证书的类型。准备好申请证书时,单击“注册”。
证书注册向导成功完成后,单击“关闭”。
若要完成以下过程,必须以具有适当权限的域用户身份登录才能添加管理单元。
准备智能卡证书注册站的步骤 |
依次单击「开始」、“运行”,键入 mmc,然后单击“确定”。
在“文件”菜单中,单击“添加/删除管理单元”,然后单击“添加”。
在“管理单元”中,双击“证书”。
单击“我的用户帐户”,然后单击“完成”。
单击“关闭”,然后单击“确定”。
双击“证书 - 当前用户”。
在控制台树中,单击“个人”。
在“操作”菜单上,指向“所有任务”,然后单击“申请新证书”。
在证书注册向导中,单击“注册代理”证书模板并提供所需信息。
在证书注册向导提示下,单击“安装证书”。
其他注意事项
-
可以将注册代理证书安装在智能卡上。为此,必须在申请证书时使用智能卡制造商的加密服务提供程序 (CSP)。(在证书申请向导中,单击“高级选项”为注册代理证书选择智能卡 CSP。)
-
某人拥有注册代理证书后,即可代表组织中的任何人注册证书并生成智能卡。然后可以使用生成的智能卡登录到网络并模拟真实用户。因此,建议您的组织保持非常强的安全策略,以限制注册代理证书的使用。
其他参考
-
若要将注册代理证书模板配置为从 CA 颁发,请参阅 Managing Certificate Templates (
https://go.microsoft.com/fwlink/?LinkId=142230 )(可能为英文网页)。
-
若要配置受限的注册代理,请参阅建立受限注册代理。