管理员使用“扩展的验证”选项卡向组策略分发的根证书添加扩展验证 (EV) 证书策略。向根证书和颁发给 Intranet 网站的证书添加 EV 证书策略会提供一个表示站点为可信的可视指示器。
必须完成以下过程才能将 EV 证书用于 Intranet 网站。
- 将 EV 证书策略添加到证书模板。
- 将 EV 证书策略添加到根证书。
- 将 EV 证书颁发给 Intranet 网站。
将 EV 证书策略添加到证书模板
除根证书外,EV 证书策略还必须包括在颁发给 Intranet 网站的证书和证书路径中的所有证书颁发机构 (CA) 证书。
在该过程中,可修改用于在您所在的组织中颁发 Web 服务器证书的证书模板,或符合以下要求的任何证书模板:
- 证书模板为版本 2 或版本 3。
- 证书目的包括签名和加密。
- 应用程序策略扩展包括服务器身份验证。
颁发 CA 必须符合以下要求:
- 颁发 CA 证书的证书路径包括具有 EV 证书策略的根证书。
- 颁发 CA 证书包括“所有颁发”策略和 EV 证书策略。
- 颁发 CA 为企业 CA。
Enterprise Admins 是完成此过程所需的最低组成员身份。
 | 将 EV 证书策略添加到证书模板的步骤 |
在颁发 CA 上,打开服务器管理器。在控制台树中,依次展开“角色”、“Active Directory 证书服务”,然后单击“证书模板”。
双击用于将证书颁发给 Intranet 网站的模板。
单击“扩展”选项卡。
单击“应用程序策略”,然后单击“编辑”打开“编辑应用程序策略扩展”对话框。
单击“添加”打开“添加应用程序策略”对话框。
单击“新建”打开“新应用程序策略”对话框。
键入 EV 证书策略的名称。该名称将显示在已颁发的证书的扩展中和“证书模板”管理单元的模板属性中。
将会自动生成唯一的对象标识符(也称为 OID)值。复制该对象标识符值以用于以下过程。单击“确定”。
在“应用程序策略”列表中,选择已创建的策略。单击“确定”。
单击“确定”保存应用程序策略扩展。在“扩展”选项卡上,验证 EV 证书策略是否显示在“应用程序策略的说明”框中。
单击“安全”选项卡。验证申请 Intranet 网站的证书的组或用户是否具有“读取”和“注册”权限。
单击“确定”保存证书模板。
在控制台树中,双击 CA。
在控制台树中,右键单击“证书模板”,单击“新建”,然后单击“要颁发的证书模板”,从而打开“启用证书模板”对话框。
选择具有 EV 证书策略的证书模板,然后单击“确定”。
将 EV 证书策略添加到根证书
Enterprise Admins 是完成此过程所需的最低组成员身份。
| 将 EV 证书策略添加到根证书的步骤 |
单击「开始」,然后单击“运行”。键入 gpmc.msc,然后单击“确定”打开组策略管理控制台 (GPMC)。
在控制台树中,展开包含要编辑的策略的林和域,然后单击“组策略对象”。
右键单击要编辑的策略,然后单击“编辑”。
在“计算机配置”下的控制台树中,依次展开“策略”、“Windows 设置”、“安全设置”、“公钥策略”和“受信任的根证书颁发机构”。
如果未显示根证书,则从根 CA 导出 CA 证书,然后将证书导入“受信任的根证书颁发机构”。请参阅导出证书。
右键单击根证书,接着单击“属性”,然后单击“扩展的验证”选项卡。
键入表示您所在的组织中的 EV 证书策略的对象标识符值。如果通过使用前面的过程创建了 EV 证书策略,则使用相同的对象标识符值。
单击“添加 OID”,然后单击“确定”保存更改。
 | 注意 |
在计算机启动和用户登录过程中,域成员基于组策略刷新间隔定期应用组策略的更改。默认刷新间隔为 90 分钟。若要立即对域成员刷新组策略,请运行 Gpupdate 命令。 |
颁发 EV 证书
按照这些相关主题中的过程在 Intranet Web 服务器上申请并安装 EV 证书。
- 在 Intranet Web 服务器上,打开本地计算机的“证书”管理单元。请参阅将“证书”管理单元添加到 MMC。
- 申请 EV 证书。请参阅使用证书申请向导申请证书。
- 配置网站绑定。请参阅“‘添加或编辑站点绑定’对话框”(
https://go.microsoft.com/fwlink/?LinkId=143106 )(可能为英文网页)。
其他参考
- 扩展验证 SSL 证书 (
https://go.microsoft.com/fwlink/?LinkId=142392 )(可能为英文网页)。 - 查看证书属性