Control de inscripción de certificados
Un control de inscripción de certificados se puede usar en una aplicación que debe solicitar que se emita un certificado a un sujeto con nombre. Está diseñado para aceptar datos en forma de cadena binaria (BSTR). Los datos pueden proceder de una página web o de la interfaz de usuario del sistema de desarrollo de Visual Basic o Visual C++. La salida del control de inscripción de certificados es una solicitud de certificado PKCS #10 que se puede enviar a una entidad de certificación (CA).
La interfaz de usuario recopila la información necesaria sobre el usuario, el firmante del certificado. Esta información se proporciona como entrada BSTR para el control de inscripción de certificados. El control de inscripción de certificados genera la clave de firma adecuada, la clave de intercambio de claves o ambos pares de claves. A continuación, el control genera y firma una solicitud de certificado PKCS #10 mediante la clave privada generada. A continuación, el Control de inscripción de certificados vincula el par de claves a un certificado ficticio temporal que se almacena en el almacén de solicitudes hasta que se devuelve el certificado emitido de una entidad de certificación. Por último, la aplicación envía la solicitud de certificado PKCS #10 a una CA.
Si la ENTIDAD de certificación aprueba la solicitud de certificado, la ENTIDAD de certificación crea un certificado que contiene la clave pública. La ENTIDAD de certificación también firma y devuelve el certificado.
Cuando se devuelve el certificado solicitado de la ENTIDAD de certificación, la aplicación devuelve el mensaje PKCS #7 al control de inscripción de certificados donde se extrae el certificado o la cadena de certificados del mensaje PKCS #7. El certificado y cualquier otro certificado de la cadena de confianza se almacenan en un almacén de certificados. El certificado devuelto no se modifica de ninguna manera. Cualquier aplicación compatible con certificados ahora puede acceder a este certificado desde el almacén.
Un administrador usa el control de inscripción de tarjetas inteligentes para inscribirse en nombre de los usuarios de tarjetas inteligentes. El proceso de inscripción da como resultado un certificado emitido que se almacena en la tarjeta inteligente de un usuario.
El control de inscripción de tarjeta inteligente se encuentra en Scrdenrl.dll y consta de un objeto, SCrdEnr. No se incluyen otros objetos en Scrdenrl.dll. Este objeto de inscripción de tarjeta inteligente se puede usar con un lenguaje de script, como Visual Basic Scripting Edition (VBScript).
Se debe instalar un lector de tarjetas inteligentes en el equipo que ejecuta el Control de inscripción de tarjetas inteligentes.
Además, el emisor de tarjetas inteligentes debe haber obtenido un certificado de firma basado en la plantilla de certificado "EnrollmentAgent". Este certificado de firma se usará para firmar la solicitud de certificado generada en nombre del destinatario de la tarjeta inteligente. De forma predeterminada, a los administradores de dominio se les concede permiso para solicitar un certificado basado en la plantilla "Agente de inscripción". Se puede conceder permiso a otro usuario para inscribirse para un certificado "EnrollmentAgent" (por medio del complemento MMC sitios y servicios de Active Directory); sin embargo, esto permite a este usuario emitir automáticamente una tarjeta inteligente con privilegios de administrador de dominio.