Ein Registrierungs-Agent ist ein Benutzer, der sich im Namen eines anderen Clients für ein Zertifikat registrieren kann. Im Gegensatz zur Zertifikatverwaltung kann ein Registrierungs-Agent nur die Registrierungsanforderung verarbeiten. Er kann keine ausstehenden Anforderungen genehmigen oder ausgestellte Zertifikate sperren.

Im Lieferumfang von Windows Server 2008 R2 sind drei Zertifikatvorlagen enthalten, die unterschiedliche Registrierungs-Agenttypen aktivieren:

  • Registrierungs-Agent Wird zum Anfordern von Zertifikaten im Namen eines anderen Antragstellers verwendet.

  • Registrierungs-Agent (Computer) Wird zum Anfordern von Zertifikaten im Namen eines anderen Computerantragstellers verwendet.

  • Exchange-Registrierungs-Agent (Offlineanforderung) Wird zum Anfordern von Zertifikaten im Namen eines anderen Antragstellers und zum Angeben des Antragstellernamens in der Anforderung verwendet. Diese Vorlage wird vom Registrierungsdienst für Netzwerkgeräte für dessen Registrierungs-Agent-Zertifikat verwendet.

Wenn Sie einen Registrierungs-Agent erstellen, können Sie noch einstellen, dass dieser sich im Namen von anderen nach Gruppen und Zertifikatvorlagen registriert. Möglicherweise möchten Sie z. B. eine Einschränkung implementieren, dass sich der Registrierungs-Agent nur für Zertifikate zur Smartcard-Anmeldung für Benutzer in einem bestimmten Büro oder einer bestimmten Organisationseinheit, die Basis einer Sicherheitsgruppe, anmelden kann.

Diese Einschränkung basiert auf einer Teilmenge der Zertifikatvorlagen, die für die Zertifizierungsstelle und die Benutzergruppen aktiviert wurden, die über Registrierungsberechtigungen für diese Zertifikatvorlage von dieser Zertifizierungsstelle verfügen.

Wichtig

Sie können Einschränkungen für Registrierungs-Agents nur auf Windows Server 2008-basierten Zertifizierungsstellen anwenden. Die Richtlinie für Registrierungs-Agents muss auch ordnungsgemäß konfiguriert sein.

Sie müssen als Zertifizierungsstellenadministrator angemeldet oder Mitglied der Gruppe Unternehmensadministratoren oder einer ähnlichen Gruppe sein, um dieses Verfahren ausführen zu können. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.

So konfigurieren Sie Einschränkungen für Registrierungs-Agents für eine Zertifizierungsstelle

  1. Öffnen Sie das Zertifizierungsstellen-Snap-In, klicken Sie mit der rechten Maustaste auf den Namen der Zertifizierungsstelle, und klicken Sie dann auf Eigenschaften.

  2. Klicken Sie auf die Registerkarte Registrierungs-Agents, klicken Sie auf Registrierungs-Agents einschränken, und klicken Sie in der daraufhin angezeigten Meldung auf OK.

  3. Klicken Sie unter Registrierungs-Agents auf Hinzufügen, geben Sie die Namen der Benutzer oder Gruppen ein, die Sie konfigurieren möchten, und klicken Sie dann auf OK. Klicken Sie auf Jeder und anschließend auf Entfernen.

  4. Klicken Sie unter Zertifikatvorlagen auf Hinzufügen, wählen Sie die Vorlage für die Zertifikate aus, mit denen sich dieser Benutzer oder diese Gruppe registrieren kann, und klicken Sie dann auf OK. Wiederholen Sie diesen Schritt, bis Sie alle Zertifikatvorlagen ausgewählt haben, die Sie für diesen Registrierungs-Agents aktivieren möchten. Wenn Sie die Namen der Zertifikatvorlagen hinzugefügt haben, klicken Sie auf <Alle>, und klicken Sie dann auf Entfernen.

  5. Klicken Sie unter Berechtigungen auf Hinzufügen, geben Sie die Namen der Benutzer oder Gruppen ein, für die der Registrierungs-Agent die definierten Zertifikattypen verwalten soll, und klicken Sie dann auf OK. Klicken Sie auf Jeder und dann auf Entfernen.

  6. Wenn Sie verhindern möchten, dass der Registrierungs-Agent Zertifikate für einen Benutzer, Computer oder eine Gruppe verwaltet, wählen Sie diesen Benutzer, Computer oder diese Gruppe unter Berechtigungen aus, und klicken Sie dann auf Verweigern.

  7. Wenn Sie mit dem Konfigurieren von Einschränkungen für Registrierungs-Agents fertig sind, klicken Sie auf OK oder Übernehmen.
Hinweis

Die Benutzer oder Gruppen, auf die Sie Registrierungs-Agent-Einschränkungen angewendet haben, benötigen für die Zertifizierungsstelle ein gültiges Registrierungs-Agent-Zertifikat, um als Registrierungs-Agent fungieren zu können, egal ob eingeschränkte Registrierungs-Agent-Berechtigungen konfiguriert wurden oder nicht.

Weitere Verweise

Inhaltsverzeichnis