Элемент управления регистрацией сертификатов
Элемент управления регистрацией сертификатов можно использовать приложением, которое должно запрашивать выдачу сертификата именованному субъекту. Он предназначен для принятия данных в виде двоичной строки (BSTR). Данные могут поступать из веб-страницы или пользовательского интерфейса системы разработки Visual Basic или Visual C++. Выходные данные элемента управления регистрации сертификатов — это запрос сертификата PKCS #10, который можно отправить в центр сертификации (ЦС).
Необходимые сведения о пользователе, субъекте сертификата, собираются пользовательским интерфейсом. Эти сведения предоставляются в качестве входных данных BSTR для элемента управления регистрацией сертификатов. Элемент управления регистрации сертификатов создает соответствующий ключ подписи, ключ обмена ключами или обе пары ключей. Затем элемент управления создает и подписывает запрос на сертификат PKCS #10 с помощью созданного закрытого ключа. Затем элемент управления регистрации сертификатов связывает пару ключей с временным фиктивным сертификатом, хранящимся в хранилище запросов, пока выданный сертификат не будет возвращен из центра сертификации. Наконец, приложение отправляет запрос сертификата PKCS #10 в ЦС.
Если ЦС утверждает запрос на сертификат, ЦС создает сертификат, содержащий открытый ключ. ЦС также подписывает и возвращает сертификат.
Когда запрошенный сертификат возвращается из ЦС, приложение передает сообщение PKCS #7 обратно в элемент управления регистрации сертификатов, где сертификат или цепочка сертификатов извлекается из сообщения PKCS #7. Сертификат и любые другие сертификаты в цепочке доверия хранятся в хранилище сертификатов. Возвращенный сертификат не изменяется каким-либо образом. Теперь любое приложение с поддержкой сертификатов может получить доступ к этому сертификату из хранилища.
Управление регистрацией смарт-карт используется администратором для регистрации от имени пользователей смарт-карт. Процесс регистрации приводит к выпуску сертификата, хранящегося на смарт-карте пользователя.
Элемент управления регистрации смарт-карт содержится в Scrdenrl.dll и состоит из одного объекта, SCrdEnr. Другие объекты не включены в Scrdenrl.dll. Этот объект регистрации смарт-карт можно использовать с языком скриптов, например Visual Basic Scripting Edition (VBScript).
На компьютере, на котором запущен элемент управления регистрацией смарт-карт, необходимо установитьсредства чтения смарт-карт.
Кроме того, издатель смарт-карт должен получить сертификат подписи на основе шаблона сертификата EnrollmentAgent. Этот сертификат подписи будет использоваться для подписи запроса сертификата, созданного от имени получателя смарт-карты. По умолчанию администраторы домена получают разрешение на запрос сертификата на основе шаблона "Агент регистрации". Другому пользователю может быть предоставлено разрешение на регистрацию для сертификата EnrollmentAgent (с помощью оснастки MMC сайтов и служб Active Directory); Однако это позволяет этому пользователю самостоятельно выдавать смарт-карту с правами администратора домена.