Элемент управления регистрацией сертификатов

Элемент управления регистрацией сертификатов может использоваться приложением, которое должно запрашивать выдачу сертификата именованному субъекту. Он предназначен для приема данных в виде двоичной строки (BSTR). Данные могут поступать с веб-страницы или из пользовательского интерфейса системы разработки Visual Basic или Visual C++. Выходные данные элемента управления регистрации сертификатов — это запрос сертификата PKCS #10, который можно отправить в центр сертификации (ЦС).

certificate enrollment control

Необходимые сведения о пользователе, субъекте сертификата, собираются пользовательским интерфейсом. Эти сведения предоставляются в качестве входных данных BSTR для элемента управления регистрацией сертификатов. Элемент управления регистрации сертификатов создает соответствующий ключ подписи, ключ обмена ключами или обе пары ключей. Затем элемент управления создает и подписывает запрос сертификата PKCS #10 с помощью созданного закрытого ключа. Затем элемент управления регистрации сертификатов связывает пару ключей с временным фиктивным сертификатом, который хранится в хранилище запросов, пока выданный сертификат не будет возвращен из центра сертификации. Наконец, приложение отправляет запрос сертификата PKCS #10 в ЦС.

Если ЦС утверждает запрос на сертификат, ЦС создает сертификат, содержащий открытый ключ. ЦС также подписывает и возвращает сертификат.

Когда запрошенный сертификат возвращается из ЦС, приложение передает сообщение PKCS #7 обратно в элемент управления регистрации сертификатов, где сертификат или цепочка сертификатов извлекаются из сообщения PKCS #7. Сертификат и любые другие сертификаты в цепочке доверия хранятся в хранилище сертификатов. Возвращенный сертификат не изменяется каким-либо образом. Теперь любое приложение с поддержкой сертификатов может получить доступ к этому сертификату из хранилища.

Управление регистрацией смарт-карт используется администратором для регистрации от имени пользователей смарт-карт. Процесс регистрации приводит к выдаче сертификата, который хранится на смарт-карте пользователя.

Элемент управления регистрации смарт-карт содержится в Scrdenrl.dll и состоит из одного объекта SCrdEnr. Другие объекты не включены в Scrdenrl.dll. Этот объект регистрации смарт-карт можно использовать с языком скриптов, например Visual Basic Scripting Edition (VBScript).

Средство чтения смарт-карт должно быть установлено на компьютере с элементом управления регистрации смарт-карт.

Кроме того, издатель смарт-карты должен получить сертификат подписи на основе шаблона сертификата EnrollmentAgent. Этот сертификат подписи будет использоваться для подписи запроса сертификата, созданного от имени получателя смарт-карты. По умолчанию администраторам домена предоставляется разрешение на запрос сертификата на основе шаблона "Агент регистрации". Другому пользователю может быть предоставлено разрешение на регистрацию сертификата EnrollmentAgent (с помощью оснастки MMC для сайтов и служб Active Directory); Однако это позволяет этому пользователю самостоятельно выдавать смарт-карту с правами администратора домена.