当前林的 Active Directory 域中的所有证书颁发机构 (CA) 证书都存储在 NTAuthCertificates 容器中。安装新的 CA 时,将自动添加企业 CA 证书。
如果在创建新的 CA(如由不是 Enterprise Admins 组成员的用户创建的独立 CA)时未自动添加 CA 证书,则仍然可以将 CA 证书手动添加到 NTAuthCertificates 容器中。此外,还可以使用该流程添加颁发智能卡登录证书或域控制器证书时使用的非 Microsoft CA 的 CA 证书。通过将这些 CA 证书发布到企业 NTAuth 存储,管理员即表明信任 CA 颁发这些类型的证书。
Enterprise Admins 中的成员身份或同等身份是完成此过程所需的最低要求。
 | 使用 Windows 界面向 NTAuthCertificates 容器中添加证书的步骤 |
将 CA 的证书导出到 .cer 文件,该文件支持采用区别编码规则 (DER) 编码的二进制格式或 base-64 编码的 X.509 格式。
打开“企业 PKI”管理单元,右键单击控制台树中的“企业 PKI”,然后单击“管理 AD 容器”。
单击“NTAuthCertificates”容器。
单击“添加”,并浏览到与要添加的证书对应的 .cer 文件,然后单击“确定”。
此外,您还可以使用 Certutil 命令行工具向 NTAuthCertificates 容器中添加证书。
| 使用命令行向 NTAuthCertificates 容器中添加证书的步骤 |
将 CA 的证书导出到 .cer 文件,该文件支持 DER 编码的二进制格式或 base-64 编码的 X.509 格式。
打开命令提示符窗口,键入以下命令,然后按 Enter:
certutil -dspublish -f filename NTAuthCA