Configurar un Enrollment Agent restringido

¿Qué es?

Un agente de inscripción restringido es un usuario que puede inscribirse para obtener un certificado en nombre de otro cliente. A diferencia de un administrador de certificados, un agente de inscripción sólo puede procesar la solicitud de inscripción y no puede aprobar solicitudes pendientes o revocar certificados emitidos (a no ser que se lo indiquemos en las propiedades de la CA en la pestaña de seguridad). Estos usuarios suelen formar parte de la infraestructura de seguridad y ayudan a aliviar parte de la carga que recae sobre el personal informático de la empresa en la distribución de certificados. La entidad certificadora puede emitir tres plantillas:

  • Enrollment Agent: Se utiliza para solicitar certificados en nombre de otro sujeto.
  • Enrollment Agent (Computer): Se utiliza para solicitar certificados en nombre de otro sujeto informático.
  • Exchange Enrollment Agent (Offline Request): Se utiliza para solicitar certificados en nombre de otro sujeto y proporcionar el nombre del sujeto en la solicitud. El Servicio de inscripción de dispositivos de red utiliza esta plantilla para su certificado de agente de inscripción.

Debe ser administrador de CA o miembro de Enterprise Admins , o equivalente, para completar este procedimiento.

¿Qué seguridad puede ofrecer?

El administrador de una CA asigna a usuarios los roles por separado, ¿por qué? es más seguro cuando cada usuario se le asigna un solo rol porque de esa manera se pueden comprometer menos tareas de CA si la cuenta de dicho usuario se ve comprometida.

Screenshot_2

Comprobamos en la imagen que tenemos tres partes:

  1. Enrollment Agent: En esta casilla es donde vamos a añadir al usuario que puede inscribirse para obtener un certificado en nombre de otro usuario.
  2. Certificates Templates: Añades las plantillas administrativas para que el usuario pueda emitir.
  3. Permissions: Añades al grupo o al usuario al que vas emitir el certificado.
Screenshot_3
En esta imagen muestro como poder emitir un certificado a otro usuario.
Screenshot_4
Aquí elegimos el certificado que tenemos (Enrollment Agent)

Para más configuración podéis ver el vídeo.

Autora: Carolina Egea Moreno
Curso: Microsoft MCSA Windows Server 2016 + Azure + AWS
Centro: Tajamar
Año académico: 2019-2020

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.