11Agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373Agent’s Certificate for SSL Client Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375Revocation Status Checking of Agent Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378Trusted Managers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380Subsystems That Can Function as Trusted Managers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381Connectors for Linking Trusted Managers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382Trusted Manager’s Certificate for SSL Client Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . 383Groups and Their Privileges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384Group for Administrators . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384Groups for Agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385Group for Certificate Manager Agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385Group for Registration Manager Agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386Group for Data Recovery Manager Agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386Group for Online Certificate Status Manager Agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387Group for Trusted Managers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387Setting Up Privileged Users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388Setting Up Administrators . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388Step 1. Find the Required Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388Step 2. Add the Information to the Internal Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388Setting Up Agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391Setting up Agents Using the Automated Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391Setting up Agents Using the Manual Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392Setting Up Trusted Managers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397Setting up Trusted Managers Using the Automated Process . . . . . . . . . . . . . . . . . . . . . . . . . . . 397Setting Up a Registration Manager as a Trusted Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398Setting Up a Certificate Manager as a Trusted Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406Changing Privileged-User Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413Changing a Privileged User’s Login Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413Changing a Privileged User’s Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414Changing Members in a Group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415Deleting a Privileged User . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416Chapter 14 Managing CMS Keys and Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419Keys and Certificates for the Main Subsystems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420Certificate Manager’s Key Pairs and Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421CA Signing Key Pair and Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421OCSP Signing Key Pair and Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422CRL Signing Key Pair and Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423SSL Server Key Pair and Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425Registration Manager’s Key Pairs and Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426Signing Key Pair and Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426SSL Server Key Pair and Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427Data Recovery Manager’s Key Pairs and Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427