在某些狀況下,憑證授權單位 (CA) 處理要求前,必須使用有效的 [註冊代理] 或 [簽署] 憑證來數位簽署憑證要求。

重要

一旦具有註冊代理程式憑證,該使用者就可以註冊憑證,並代表組織中的任何人產生智慧卡。所產生的智慧卡可用來登入網路,並模擬真正的使用者。因為註冊代理程式憑證具有強大的功能,所以強烈建議您的組織針對這些憑證制定強而有力的安全原則。

將 [註冊代理] 憑證的誤用降至最低的其中一個方法,就是使用組織中具有非常嚴格管理控制的次級 CA,來發出 [註冊代理] 憑證。一旦發出初始的 [註冊代理] 憑證,CA 的系統管理員就可以停用 [註冊代理] 憑證的發佈,直到再次需要使用為止。

藉由限制可以操作次級 CA 上之 CA 服務的系統管理員,即可在需要時讓服務保持在上線狀態,以便產生和發佈憑證撤銷清單 (CRL)。

如果原則設定未改變,階層中的其他 CA 仍可發出 [註冊代理] 憑證,但是您可定期檢查每個 CA 的 [已發出的憑證] 日誌,以判斷是否發出了不適當的 [註冊代理] 憑證。

其他參考資料


目錄