Freigeben über

Zertifikatregistrierungssteuerung

  • Artikel

Zertifikatregistrierungskontrolle kann von einer Anwendung verwendet werden, die anfordern muss, dass ein Zertifikat für einen benannten Betreff ausgestellt wird. Es ist so konzipiert, dass Daten in Form einer binären Zeichenfolge (Binary String, BSTR) akzeptiert werden. Die Daten können von einer Webseite oder von der Benutzeroberfläche des Visual Basic- oder Visual C++-Entwicklungssystems stammen. Die Ausgabe der Zertifikatregistrierungskontrolle ist eine PKCS #10-Zertifikatanforderung, die an eine Zertifizierungsstelle (CA) gesendet werden kann.

für die Zertifikatregistrierung

Erforderliche Informationen zum Benutzer, dem Zertifikatbetreff, werden von der Benutzeroberfläche erfasst. Diese Informationen werden als BSTR-Eingabe für das Zertifikatregistrierungssteuerelement bereitgestellt. Das Zertifikatregistrierungssteuerelement generiert den entsprechenden Signaturschlüssel, Schlüsselaustauschschlüssel oder beide Schlüsselpaare. Anschließend generiert und signiert das Steuerelement eine PKCS #10 Zertifikatanforderung mithilfe des generierten privaten Schlüssels. Das Zertifikatregistrierungssteuerelement verknüpft dann das Schlüsselpaar mit einem temporären Dummyzertifikat, das im Anforderungsspeicher gespeichert ist, bis das ausgestellte Zertifikat von einer Zertifizierungsstelle zurückgegeben wird. Schließlich sendet die Anwendung die PKCS #10-Zertifikatanforderung an eine Zertifizierungsstelle.

Wenn die Zertifizierungsstelle die Zertifikatanforderung genehmigt, erstellt die Zertifizierungsstelle ein Zertifikat, das den öffentlichen Schlüssel enthält. Die Zertifizierungsstelle signiert und gibt das Zertifikat zurück.

Wenn das angeforderte Zertifikat von der Zertifizierungsstelle zurückgegeben wird, übergibt die Anwendung die PKCS #7-Nachricht an die Zertifikatregistrierungskontrolle zurück, in der das Zertifikat oder die Zertifikatkette aus der PKCS #7-Nachricht extrahiert wird. Das Zertifikat und alle anderen Zertifikate in der Vertrauenskette werden in einem Zertifikatspeichergespeichert. Das zurückgegebene Zertifikat wird in keiner Weise geändert. Jede zertifikatfähige Anwendung kann jetzt über den Speicher auf dieses Zertifikat zugreifen.

Die Smartcardregistrierungssteuerung wird von einem Administrator verwendet, um sich im Namen von Smartcardbenutzern zu registrieren. Der Registrierungsprozess führt dazu, dass ein Zertifikat ausgestellt wird, das auf der Smartcard eines Benutzers gespeichert ist.

Das SmartCard-Registrierungssteuerelement ist in Scrdenrl.dll enthalten und besteht aus einem Objekt, SCrdEnr. In Scrdenrl.dllsind keine anderen Objekte enthalten. Dieses SmartCard Enrollment-Objekt kann mit einer Skriptsprache verwendet werden, z. B. Visual Basic Scripting Edition (VBScript).

Ein Smartcardleser muss auf dem Computer installiert sein, auf dem das Smartcard-Registrierungssteuerelement ausgeführt wird.

Darüber hinaus muss der Smartcardaussteller ein Signaturzertifikat basierend auf der Zertifikatvorlage "EnrollmentAgent" erhalten haben. Dieses Signaturzertifikat wird verwendet, um die zertifikatsanforderung zu signieren, die im Auftrag des Smartcardempfängers generiert wurde. Standardmäßig erhalten Domänenadministratoren die Berechtigung, ein Zertifikat basierend auf der Vorlage "Registrierungs-Agent" anzufordern. Einem anderen Benutzer kann die Berechtigung erteilt werden, sich für ein "EnrollmentAgent"-Zertifikat zu registrieren (über das Active Directory Sites and Services MMC-Snap-In); Auf diese Weise kann dieser Benutzer jedoch selbst eine Smartcard mit Domänenadministratorberechtigungen ausstellen.