智慧卡註冊站允許指定的員工或代理程式,從一個集中式工作站或從任意數量之指定工作站的其中一個工作站發行智慧卡。指定註冊站和代理程式可簡化發行智慧卡的實際準備、降低憑證服務中斷的機會,以及防止使用者和管理員驗證自己的識別碼和發行自己的憑證,特別是含有不同安全性和存取權層級的組織或環境。
準備智慧卡憑證註冊站
在要求使用者的智慧卡登入憑證之前:
-
必須設定並啟用憑證授權單位 (CA) 的註冊代理程式和智慧卡登入,或智慧卡使用者憑證。
-
如有需要,也必須設定註冊代理程式限制。
-
註冊代理程式必須代表其他使用者針對註冊代理程式憑證加以註冊。
-
在您將用以設定智慧卡的電腦上,遵循製造商的指示來安裝智慧卡讀取裝置。
下列程序說明如何代表其他使用者註冊智慧卡憑證,以及一旦可以使用註冊代理程式憑證後準備註冊站的方法。這些程序可在執行 Windows 7 或 Windows Vista 的任何電腦,或做為智慧卡憑證註冊站之 Windows Server 2008 R2 或 Windows Server 2008 成員伺服器上執行。
若要完成此程序,至少需要 Users 群組成員資格和註冊代理程式憑證。
代表其他使用者註冊憑證 |
開啟使用者的 [憑證] 嵌入式管理單元。
若要確認您正位於 [邏輯憑證存放檔] 檢視中,請在 [憑證 - 目前的使用者] 上按一下滑鼠右鍵,指向 [檢視],按一下 [選項],確認已選取 [邏輯憑證存放檔],然後按一下 [確定]。
在主控台樹狀目錄中,展開 [個人] 存放區,然後按一下 [憑證]。
在 [執行] 功能表上,指向 [所有工作],按一下 [進階操作],然後按一下 [代表下列人員/組織註冊],以開啟 [憑證註冊精靈]。按 [下一步]。
瀏覽至您要用來簽署正在處理之憑證要求的註冊代理程式憑證。按 [下一步]。
選取您要註冊的憑證類型。當您準備好要求憑證後,請按一下 [註冊]。
順利完成 [憑證註冊精靈] 之後,按一下 [關閉]。
若要完成下列程序,您必須以具有適當權限之網域使用者的身分登入,以新增嵌入式管理單元。
準備智慧卡憑證註冊站 |
依序按一下 [開始] 及 [執行],輸入 mmc,再按 [確定]。
在 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元],再按一下 [新增]。
在 [嵌入式管理單元] 中,按兩下 [憑證]。
按一下 [我的使用者帳戶],然後按一下 [完成]。
按一下 [關閉],然後按一下 [確定]。
按兩下 [憑證 - 目前的使用者]。
在主控台樹狀目錄中,按一下 [個人]。
在 [執行] 功能表上,指向 [所有工作],然後按一下 [要求新憑證]。
在 [憑證註冊精靈] 中,按一下 [註冊代理程式] 憑證範本,並提供要求的資訊。
當 [憑證註冊精靈] 出現提示時,按一下 [安裝憑證]。
其他考量
-
您可以在智慧卡上安裝註冊代理程式憑證。若要這樣做,要求憑證時,必須使用智慧卡製造商的加密編譯服務提供者 (CSP)。(在憑證要求精靈中,按一下 [進階選項],以選取註冊代理程式憑證的智慧卡 CSP。)
-
一旦具有註冊代理程式憑證,該使用者就可以註冊憑證,並代表組織中的任何人產生智慧卡。所產生的智慧卡可用來登入網路,並模擬真正的使用者。因此,建議組織維護非常強大的安全性原則,以限制註冊代理程式憑證的使用。
其他參考資料
-
若要針對來自 CA 的發行設定註冊代理程式憑證範本,請參閱「管理憑證範本」(
https://go.microsoft.com/fwlink/?LinkId=142230 (可能為英文網頁) )。
-
若要設定限制的註冊代理程式,請參閱建立受限的註冊代理程式。