Partilhar via


Controle de Registro de Certificado

O Controle de Registro de Certificado pode ser usado por um aplicativo que deve solicitar que um certificado seja emitido para um assunto nomeado. Ele foi projetado para aceitar dados na forma de uma cadeia de caracteres binária (BSTR). Os dados podem vir de uma página da Web ou da interface do usuário do sistema de desenvolvimento Visual Basic ou Visual C++. A saída do Controle de Registro de Certificado é uma solicitação de certificado PKCS nº 10 que pode ser enviada para uma AC (autoridade de certificação ).

certificate enrollment control

As informações necessárias sobre o usuário, o titular do certificado, são coletadas pela Interface do Usuário. Essas informações são fornecidas como uma entrada BSTR para o Controle de Registro de Certificado. O Controle de Registro de Certificado gera a chave de assinatura apropriada, a chave de troca de chaves ou ambos os pares de chave. Em seguida, o controle gera e assina uma solicitação de certificado PKCS nº 10 usando a chave privada gerada. Em seguida, o Controle de Registro de Certificado vincula o par de chaves a um certificado fictício temporário que é armazenado no repositório de solicitações até que o certificado emitido seja retornado de uma autoridade de certificação. Por fim, o aplicativo envia a solicitação de certificado PKCS nº 10 para uma AC.

Se a AC aprovar a solicitação de certificado, a AC criará um certificado contendo a chave pública. A AC também assina e retorna o certificado.

Quando o certificado solicitado é retornado da AC, o aplicativo passa a mensagem PKCS nº 7 de volta para o Controle de Registro de Certificado em que o certificado ou cadeia de certificados é extraído da mensagem PKCS nº 7. O certificado e quaisquer outros certificados na cadeia de confiança são armazenados em um repositório de certificados. O certificado retornado não é modificado de forma alguma. Qualquer aplicativo com reconhecimento de certificado agora pode acessar esse certificado no repositório.

O Controle de Registro de Cartão Inteligente é usado por um administrador para se registrar em nome de usuários de cartão inteligente. O processo de registro resulta na emissão de um certificado armazenado no cartão inteligente de um usuário.

O Controle de Registro de Cartão Inteligente está contido em Scrdenrl.dll e consiste em um objeto, SCrdEnr. Nenhum outro objeto está incluído no Scrdenrl.dll. Esse objeto registro de cartão inteligente pode ser usado com uma linguagem de script, como Visual Basic Edição de Script (VBScript).

Um leitor de cartão inteligente deve ser instalado no computador que executa o Controle de Registro de Cartão Inteligente.

Além disso, o emissor do cartão inteligente deve ter obtido um certificado de autenticação com base no modelo de certificado "EnrollmentAgent". Esse certificado de autenticação será usado para assinar a solicitação de certificado gerada em nome do destinatário do cartão inteligente. Por padrão, os administradores de domínio recebem permissão para solicitar um certificado com base no modelo "Agente de Registro". Outro usuário pode receber permissão para registrar um certificado "EnrollmentAgent" (por meio do snap-in MMC de Sites e Serviços do Active Directory); Isso, no entanto, permite que esse usuário emita um cartão inteligente com privilégios de administrador de domínio.