目前樹系之 Active Directory 網域中的所有憑證授權單位 (CA) 憑證會儲存在 NTAuthCertificates 容器中。安裝新的 CA 時,會自動新增企業 CA 憑證。
如果建立新的 CA 時未自動新增 CA 憑證 (例如非 Enterprise Admins 群組成員的使用者建立的獨立 CA),仍然可以手動將 CA 憑證新增到 NTAuthCertificates 容器。您也可以使用這個處理程序,新增用來發出智慧卡登入或網域控制站憑證之非 Microsoft CA 的 CA 憑證。將這些 CA 憑證發行到 Enterprise NTAuth 存放區,系統管理員就可以指出 CA 受到信任可以發出這些類型的憑證。
若要完成這個程序,則至少需要 Enterprise Admins 的成員資格或同等權限。
 | 使用 Windows 介面將憑證新增到 NTAuthCertificates 容器 |
將 CA 的憑證匯出到 .cer 檔案,而這類檔案支援識別名編碼規則 (DER) 編碼二進位格式或 Base-64 編碼 X.509 格式。
開啟 [企業 PKI] 嵌入式管理單元,並於主控台樹狀目錄的 [企業 PKI] 上按一下滑鼠右鍵,然後按一下 [管理 AD 容器]。
按一下 [NTAuthCertificates] 容器。
按一下 [新增],並瀏覽到想要新增之憑證的 .cer 檔案。按一下 [確定]。
也可以使用 Certutil 命令列工具,將憑證新增到 NTAuthCertificates 容器。
| 使用命令列將憑證新增到 NTAuthCertificates 容器 |
將 CA 的憑證匯出到 .cer 檔案,而這類檔案支援 DER 編碼二進位格式或 Base-64 編碼 X.509 格式。
開啟命令提示字元,輸入下列命令,然後按 ENTER:
certutil -dspublish -f filename NTAuthCA