因為現今使用的憑證種類,以及所發出的憑證數目日益增加,所以某些組織可能會想要管理憑證信任,並避免網域中的使用者設定自己的信任根憑證集。此外,某些組織在需要額外信任關係的狀況下,會需要識別並分送特定的信任根憑證,以符合業務所需。
這個主題包括下列工作的程序:
管理本機電腦的受信任根憑證
若要完成此程序,至少需要 Administrators 群組成員資格。
 | 管理本機電腦的受信任根憑證 |
按一下 [開始],再按一下 [開始搜尋],輸入 mmc 後,再按一下 ENTER。
在 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。
在 [可用的嵌入式管理單元] 下,依序按一下 [本機群組原則物件編輯器]、 [新增],然後選取要編輯本機群組原則物件 (GPO) 的電腦,再按一下 [完成]。
如果您沒有其他要新增到主控台的嵌入式管理單元,請按一下 [確定]。
在主控台樹狀目錄中,依序移至 [本機電腦原則]、[電腦設定]、[Windows 設定]、[安全性設定],然後按一下 [公開金鑰原則]。
按兩下 [憑證路徑驗證設定] 後,按一下 [存放區] 索引標籤。
選取 [定義這些原則設定] 核取方塊。
在 [每個使用者憑證存放區] 下,清除 [允許使用者信任的根 CA 用以驗證憑證] 與 [允許使用者信任對等信任憑證] 核取方塊。
在 [根憑證存放區] 下,選取用戶端電腦可信任的根 CA,然後按一下 [確定] 套用新設定。
管理網域的受信任根憑證
若要完成此程序,至少需要 Domain Admins 群組成員資格。
| 管理網域的受信任根憑證 |
開啟 [伺服器管理員] 後,按一下 [功能摘要] 下的 [新增功能]。選取 [群組原則管理] 核取方塊後按 [下一步],然後按一下 [安裝]。
等到 [安裝結果] 頁面顯示已順利安裝群組原則管理主控台 (GPMC) 後,按一下 [關閉]。
按一下 [開始],並指向 [系統管理工具] 後,再按一下 [群組原則管理]。
在主控台樹狀目錄中,請在內含您要編輯的 [預設網域原則] (GPO) 的樹系和網域中,連按兩下 [群組原則物件]。
在 [預設網域原則] GPO 上按一下滑鼠右鍵,然後按一下 [編輯]。
依序移至 GPMC 中的 [電腦設定]、[Windows 設定]、[安全性設定],然後按一下 [公開金鑰原則]。
按兩下 [憑證路徑驗證設定] 後,按一下 [存放區] 索引標籤。
選取 [定義這些原則設定] 核取方塊。
在 [每個使用者憑證存放區] 下,清除 [每個使用者憑證存放區] 核取方塊中的 [允許使用者信任的根 CA 用以驗證憑證] 與 [允許使用者信任對等信任憑證] 選項。
在 [根憑證存放區] 下,選取用戶端電腦可信任的根 CA,然後按一下 [確定] 套用新設定。
將憑證新增到本機電腦之受信任的根憑證授權單位存放區
若要完成此程序,至少需要 Administrators 群組成員資格。
| 將憑證新增到本機電腦之受信任的根憑證授權單位存放區 |
按一下 [開始],再按一下 [開始搜尋],輸入 mmc 後,再按一下 ENTER。
在 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。
在 [可用的嵌入式管理單元] 下,按一下 [憑證],再按一下[新增]。
按一下 [這個嵌入式管理單元將自動管理下列帳戶的憑證] 下的 [電腦帳戶],然後按 [下一步]。
按一下 [本機電腦],再按一下 [完成]。
如果您沒有其他要新增到主控台的嵌入式管理單元,請按一下 [確定]。
在主控台樹狀目錄中,按兩下 [憑證]。
在 [受信任的根憑證授權單位] 存放區上按一下滑鼠右鍵。
按一下 [匯入] 以匯入憑證,並遵循 [憑證匯入精靈] 中的步驟。
將憑證新增到網域之受信任的根憑證授權單位存放區
若要完成此程序,至少需要 Domain Admins 群組成員資格。
| 將憑證新增到網域之信任的根憑證授權單位存放區 |
開啟 [伺服器管理員] 後,按一下 [功能摘要] 下的 [新增功能]。選取 [群組原則管理] 核取方塊後按 [下一步],然後按一下 [安裝]。
等到 [安裝結果] 頁面顯示已順利安裝 GPMC 後,按一下 [關閉]。
按一下 [開始],並指向 [系統管理工具] 後,再按一下 [群組原則管理]。
在主控台樹狀目錄中,請在內含您要編輯的 [預設網域原則] (GPO) 的樹系和網域中,連按兩下 [群組原則物件]。
在 [預設網域原則] GPO 上按一下滑鼠右鍵,然後按一下 [編輯]。
依序移至 GPMC 中的 [電腦設定]、[Windows 設定]、[安全性設定],然後按一下 [公開金鑰原則]。
在 [受信任的根憑證授權單位] 存放區上按一下滑鼠右鍵。
按一下 [匯入] 並遵循 [憑證匯入精靈] 中的步驟以匯入憑證。
其他參考資料