Contrôle d’inscription de certificat
Le contrôle d’inscription de certificat peut être utilisé par une application qui doit demander qu’un certificat soit émis à un sujet nommé. Il est conçu pour accepter des données sous la forme d’une chaîne binaire (BSTR). Les données peuvent provenir d’une page web ou de l’interface utilisateur du système de développement Visual Basic ou Visual C++. La sortie du contrôle d’inscription de certificat est une demande de certificat PKCS #10 qui peut être envoyée à une autorité de certification .
Les informations nécessaires sur l’utilisateur, le sujet du certificat, sont collectées par l’interface utilisateur. Ces informations sont fournies en tant qu’entrée BSTR dans le contrôle d’inscription de certificat. Le contrôle d’inscription de certificat génère la clé de signature appropriée, la clé d’échange de clé ou les deux paires de clés. Le contrôle génère et signe ensuite une demande de certificat PKCS #10 à l’aide de la clé privée générée. Le contrôle d’inscription de certificat lie ensuite la paire de clés à un certificat factice temporaire stocké dans le magasin de demandes jusqu’à ce que le certificat émis soit retourné par une autorité de certification. Enfin, l’application envoie la demande de certificat PKCS #10 à une autorité de certification.
Si l’autorité de certification approuve la demande de certificat, l’autorité de certification crée un certificat contenant la clé publique. L’autorité de certification signe et retourne également le certificat.
Lorsque le certificat demandé est retourné par l’autorité de certification, l’application transmet le message PKCS #7 au contrôle d’inscription de certificat dans lequel le certificat ou la chaîne de certificats est extrait du message PKCS #7. Le certificat et tous les autres certificats de la chaîne d’approbation sont stockés dans un magasin de certificats. Le certificat retourné n’est pas modifié de quelque manière que ce soit. Toute application prenant en charge les certificats peut désormais accéder à ce certificat à partir du magasin.
Le contrôle d’inscription de carte à puce est utilisé par un administrateur pour s’inscrire pour le compte des utilisateurs de carte à puce. Le processus d’inscription entraîne l’émission d’un certificat stocké sur la carte à puce d’un utilisateur.
Le contrôle d’inscription de carte à puce est contenu dans Scrdenrl.dll et se compose d’un objet, SCrdEnr. Aucun autre objet n’est inclus dans Scrdenrl.dll. Cet objet d’inscription de carte à puce peut être utilisé avec un langage de script, tel que Visual Basic Scripting Edition (VBScript).
Un lecteur de carte à puce doit être installé sur l’ordinateur exécutant le contrôle d’inscription de carte à puce.
En outre, l’émetteur de carte à puce doit avoir obtenu un certificat de signature basé sur le modèle de certificat « EnrollmentAgent ». Ce certificat de signature sera utilisé pour signer la demande de certificat générée pour le compte du destinataire de la carte à puce. Par défaut, les administrateurs de domaine sont autorisés à demander un certificat en fonction du modèle « Agent d’inscription ». Un autre utilisateur peut être autorisé à s’inscrire pour un certificat « EnrollmentAgent » (au moyen du composant logiciel enfichable MMC Sites et services Active Directory) ; Toutefois, cela permet à cet utilisateur d’émettre automatiquement une carte à puce avec des privilèges d’administrateur de domaine.