金鑰修復代理是已授權可代表使用者修復憑證的人員。因為金鑰修復代理的角色會涉及機密資料,所以只應將此角色賦予可高度信任的個人。

若要識別金鑰修復代理,您必須設定金鑰修復代理憑證範本,以允許被指派此角色的人員註冊金鑰修復代理憑證。

若要完成此程序,至少需要 Domain Admins 的成員資格或同等權限。如需相關資訊,請參閱實作以角色為基礎的管理

設定金鑰修復代理憑證範本
  1. 開啟 [憑證範本] 嵌入式管理單元。

  2. 在主控台樹狀目錄中,於 [金鑰修復代理] 憑證範本上按一下滑鼠右鍵。

  3. 按一下 [複製範本]

  4. 除非所有的憑證授權單位 (CA) 和用戶端電腦都是執行 Windows Server 2008 R2、Windows Server 2008、Windows 7 或 Windows Vista,否則請在 [複製範本] 對話方塊中按一下 [Windows 2003 Server Enterprise]

  5. [範本] 中,輸入新的範本顯示名稱,然後視需要修改任何其他的選項內容。

  6. [安全性] 索引標籤上,按一下 [新增],輸入您要發行金鑰修復代理憑證的使用者名稱,然後按一下 [確定]

  7. [群組或使用者名稱] 之下,選取剛新增的使用者名稱。在 [權限] 下,選取 [讀取][註冊] 核取方塊,然後按一下 [確定]

    附註

    若要增強金鑰修復程序的安全性和控制,不應使用金鑰修復代理憑證的自動註冊。

在新的金鑰修復代理可根據您所建立之新憑證範本註冊憑證前,必須先將範本新增至 CA。如需如何完成此程序的相關資訊,請參閱「新增憑證範本至憑證授權單位」(https://go.microsoft.com/fwlink/?LinkId=147110 (可能為英文網頁))。

如果憑證已設定為具備 [讀取] 和 [註冊] 使用權限,則新的金鑰修復代理必須使用 [憑證] 嵌入式管理單元和 [憑證匯入精靈],來取得金鑰修復憑證。如果憑證範本已設定為具備 [自動註冊] 權限,則在使用者下次登入網路時,將會自動發行憑證。

附註

根據預設,已選取 [發行需求] 索引標籤上的 [要有憑證授權單位管理員批准] 核取方塊。除非您清除此核取方塊,否則 CA 管理員必須在發行金鑰修復代理憑證之前核准憑證要求。

在金鑰修復代理獲得此憑證之前,無法完成下一個程序啟用 CA 的金鑰保存

其他參考資料


目錄