w-studio.idv.tw
在部署 ADCS時, 所謂的註冊代理(Enrollment Agent)是一種特定權限角色, 其主要功能是代表其他使用者或電腦來申請憑證, 有些情況下, 使用者或裝置無法自行申請憑證, 這時就需要一個具備「註冊代理」權限的帳戶來代為處理憑證申請, 例如:
。使用者不具備申請憑證的權限或技術知識
。裝置尚未連線到網域(如智慧卡初始化、VPN、IoT裝置)
。需要集中管理憑證申請與發放(例如 IT人員統一申請發放憑證給新進員工)
註冊代理的使用流程
。指派代理人員: 在 CA中指派特定帳戶為「註冊代理」
。設定範本授權: 將憑證範本設為允許「Enrollment Agent」申請
。代為註冊憑證: 代理人登入後使用憑證註冊工具幫其他使用者申請憑證
。憑證發放: CA發出憑證最終交付給指定使用者或設備
由於「註冊代理」具備代表他人申請憑證的能力潛在風險較高, 建議:
。僅指派可信帳戶
。搭配稽核日誌(Audit Logs)追蹤代理人操作
。僅開放特定憑證範本使用註冊代理功能
。可搭配智慧卡憑證發放管理(如 smart card enrollment)
沒有留言:
張貼留言