由于当今使用的证书种类越来越多,证书的颁发数量也越来越多,因此某些组织可能需要管理证书信任,并防止域中的用户配置其自身的一组受信任的根证书。此外,某些组织可能需要标识并分发特定的受信任的根证书,以实现需要其他信任关系的业务方案。

本主题包括执行以下任务的过程:

管理本地计算机的受信任的根证书

管理员是完成此过程所需的最低组成员身份。

管理本地计算机的受信任根证书的步骤
  1. 依次单击「开始」“开始搜索”,键入 mmc,然后按 Enter。

  2. “文件”菜单上,单击“添加/删除管理单元”

  3. “可用的管理单元”下,依次单击“本地组策略对象编辑器”“添加”,选择要编辑其本地组策略对象 (GPO) 的计算机,然后单击“完成”

  4. 如果没有其他要添加到控制台的管理单元,请单击“确定”

  5. 在控制台树中,依次转到“本地计算机策略”“计算机配置”“Windows 设置”“安全设置”、然后单击“公钥策略”

  6. 双击“证书路径验证设置”然后单击“存储”选项卡。

  7. 选中“定义这些策略设置”复选框。

  8. “每个用户的证书存储”下,清除“允许使用用户信任的根 CA 验证证书”“允许用户信任对等机信任证书”复选框。

  9. “根证书存储”下,选择客户端计算机可以信任的根 CA,然后单击“确定”应用新设置。

管理域的受信任的根证书

Domain Admins 是完成此过程所需的最低组成员身份。

管理域的受信任根证书的步骤
  1. 打开“服务器管理器”,在“功能摘要”下单击“添加功能”。选中“组策略管理”复选框,单击“下一步”,然后单击“安装”

  2. “安装结果”页显示已成功安装组策略管理控制台 (GPMC) 后,单击“关闭”

  3. 单击「开始」,指向“管理工具”,然后单击“组策略管理”

  4. 在控制台树中,双击包含要编辑的“默认域策略” GPO 的林和域中的“组策略对象”

  5. 右键单击“默认域策略”GPO,然后单击“编辑”

  6. 在 GPMC 中,依次转到“计算机配置”“Windows 设置”“安全设置”,然后单击“公钥策略”

  7. 双击“证书路径验证设置”,然后单击“存储”选项卡。

  8. 选中“定义这些策略设置”复选框。

  9. “每个用户的证书存储”下,清除“每个用户的证书存储”复选框中的“允许使用用户信任的根 CA 验证证书”“允许用户信任对等信任证书”复选框。

  10. “根证书存储”下,选择客户端计算机可以信任的根 CA,然后单击“确定”应用新设置。

向本地计算机的受信任的根证书颁发机构存储添加证书

管理员是完成此过程所需的最低组成员身份。

向本地计算机的“受信任的根证书颁发机构”存储添加证书的步骤
  1. 依次单击「开始」“开始搜索”,键入 mmc,然后按 Enter。

  2. “文件”菜单上,单击“添加/删除管理单元”

  3. “可用的管理单元”下,单击“证书”然后单击“添加”

  4. “该管理单元将始终为下列帐户管理证书”下,单击“计算机帐户”,然后单击“下一步”

  5. 单击“本地计算机”,再单击“完成”

  6. 如果没有其他要添加到控制台的管理单元,请单击“确定”

  7. 在控制台树中,双击“证书”

  8. 右键单击“受信任的根证书颁发机构”存储。

  9. 单击“导入”以导入证书,然后按证书导入向导中的步骤操作。

向域的受信任的根证书颁发机构存储添加证书

Domain Admins 是完成此过程所需的最低组成员身份。

向域的“受信任的根证书颁发机构”存储添加证书的步骤
  1. 打开“服务器管理器”,在“功能摘要”下单击“添加功能”。选中“组策略管理”复选框,单击“下一步”,然后单击“安装”

  2. “安装结果”页显示 GPMC 的安装成功后,单击“关闭”

  3. 单击「开始」,指向“管理工具”,然后单击“组策略管理”

  4. 在控制台树中,双击包含要编辑的“默认域策略” GPO 的林和域中的“组策略对象”

  5. 右键单击“默认域策略”GPO,然后单击“编辑”

  6. 在 GPMC 中,依次转到“计算机配置”“Windows 设置”“安全设置”,然后单击“公钥策略”

  7. 右键单击“受信任的根证书颁发机构”存储。

  8. 单击“导入”并按证书导入向导中的步骤操作以导入证书。

其他参考


目录