Управление регистрацией сертификатов
Управление регистрацией сертификатов может использоваться приложением, которое должно запрашивать выдачу сертификата именованному субъекту. Он предназначен для приема данных в виде двоичной строки (BSTR). Данные могут поступать с веб-страницы или из пользовательского интерфейса системы разработки Visual Basic или Visual C++. Результатом управления регистрацией сертификатов является запрос на сертификат PKCS 10, который можно отправить в центр сертификации (ЦС).
Необходимые сведения о пользователе, субъекте сертификата, собираются пользовательским интерфейсом. Эти сведения предоставляются в качестве входных данных BSTR для элемента управления регистрацией сертификатов. Элемент управления регистрацией сертификатов создает соответствующий ключ подписи, ключ обмена ключами или обе пары ключей. Затем элемент управления создает и подписывает запрос на сертификат PKCS #10 с помощью созданного закрытого ключа. Затем элемент управления регистрацией сертификатов связывает пару ключей с временным фиктивным сертификатом, который хранится в хранилище запросов до тех пор, пока выданный сертификат не будет возвращен из центра сертификации. Наконец, приложение отправляет запрос сертификата PKCS #10 в ЦС.
Если ЦС утверждает запрос на сертификат, ЦС создает сертификат, содержащий открытый ключ. ЦС также подписывает и возвращает сертификат.
Когда запрошенный сертификат возвращается из ЦС, приложение передает сообщение PKCS 7 обратно в элемент управления регистрацией сертификатов, где сертификат или цепочка сертификатов извлекаются из сообщения PKCS #7. Сертификат и другие сертификаты в цепочке доверия хранятся в хранилище сертификатов. Возвращенный сертификат не изменяется каким-либо образом. Теперь любое приложение с поддержкой сертификатов может получить доступ к этому сертификату из хранилища.
Управление регистрацией смарт-карт используется администратором для регистрации от имени пользователей смарт-карта. Процесс регистрации приводит к выдаче сертификата, который хранится в интеллектуальной карта пользователя.
Элемент управления регистрацией смарт-карт содержится в Scrdenrl.dll и состоит из одного объекта SCrdEnr. Другие объекты не включаются в Scrdenrl.dll. Этот объект регистрации смарт-карт можно использовать с языком скриптов, например Visual Basic Scripting Edition (VBScript).
На компьютере, на котором выполняется управление регистрацией смарт-карт, должно быть установлено средство чтения смарт-карта.
Кроме того, издатель смарт-карта должен получить сертификат подписи на основе шаблона сертификата EnrollmentAgent. Этот сертификат подписи будет использоваться для подписи запроса на сертификат, созданного от имени получателя смарт-карта. По умолчанию администраторам домена предоставляется разрешение на запрос сертификата на основе шаблона "Агент регистрации". Другому пользователю может быть предоставлено разрешение на регистрацию сертификата EnrollmentAgent (с помощью оснастки MMC "Сайты и службы Active Directory"). Однако это позволяет этому пользователю самостоятельно выдавать смарт-карта с правами администратора домена.