由于当今使用的证书种类越来越多,证书的颁发数量也越来越多,因此某些组织可能需要管理证书信任,并防止域中的用户配置其自身的一组受信任的根证书。此外,某些组织可能需要标识并分发特定的受信任的根证书,以实现需要其他信任关系的业务方案。
本主题包括执行以下任务的过程:
管理本地计算机的受信任的根证书
管理员是完成此过程所需的最低组成员身份。
 | 管理本地计算机的受信任根证书的步骤 |
依次单击「开始」、“开始搜索”,键入 mmc,然后按 Enter。
在“文件”菜单上,单击“添加/删除管理单元”。
在“可用的管理单元”下,依次单击“本地组策略对象编辑器”、“添加”,选择要编辑其本地组策略对象 (GPO) 的计算机,然后单击“完成”。
如果没有其他要添加到控制台的管理单元,请单击“确定”。
在控制台树中,依次转到“本地计算机策略”、“计算机配置”、“Windows 设置”、“安全设置”、然后单击“公钥策略”。
双击“证书路径验证设置”,然后单击“存储”选项卡。
选中“定义这些策略设置”复选框。
在“每个用户的证书存储”下,清除“允许使用用户信任的根 CA 验证证书”和“允许用户信任对等机信任证书”复选框。
在“根证书存储”下,选择客户端计算机可以信任的根 CA,然后单击“确定”应用新设置。
管理域的受信任的根证书
Domain Admins 是完成此过程所需的最低组成员身份。
| 管理域的受信任根证书的步骤 |
打开“服务器管理器”,在“功能摘要”下单击“添加功能”。选中“组策略管理”复选框,单击“下一步”,然后单击“安装”。
“安装结果”页显示已成功安装组策略管理控制台 (GPMC) 后,单击“关闭”。
单击「开始」,指向“管理工具”,然后单击“组策略管理”。
在控制台树中,双击包含要编辑的“默认域策略” GPO 的林和域中的“组策略对象”。
右键单击“默认域策略”GPO,然后单击“编辑”。
在 GPMC 中,依次转到“计算机配置”、“Windows 设置”、“安全设置”,然后单击“公钥策略”。
双击“证书路径验证设置”,然后单击“存储”选项卡。
选中“定义这些策略设置”复选框。
在“每个用户的证书存储”下,清除“每个用户的证书存储”复选框中的“允许使用用户信任的根 CA 验证证书”和“允许用户信任对等信任证书”复选框。
在“根证书存储”下,选择客户端计算机可以信任的根 CA,然后单击“确定”应用新设置。
向本地计算机的受信任的根证书颁发机构存储添加证书
管理员是完成此过程所需的最低组成员身份。
| 向本地计算机的“受信任的根证书颁发机构”存储添加证书的步骤 |
依次单击「开始」、“开始搜索”,键入 mmc,然后按 Enter。
在“文件”菜单上,单击“添加/删除管理单元”。
在“可用的管理单元”下,单击“证书”,然后单击“添加”。
在“该管理单元将始终为下列帐户管理证书”下,单击“计算机帐户”,然后单击“下一步”。
单击“本地计算机”,再单击“完成”。
如果没有其他要添加到控制台的管理单元,请单击“确定”。
在控制台树中,双击“证书”。
右键单击“受信任的根证书颁发机构”存储。
单击“导入”以导入证书,然后按证书导入向导中的步骤操作。
向域的受信任的根证书颁发机构存储添加证书
Domain Admins 是完成此过程所需的最低组成员身份。
| 向域的“受信任的根证书颁发机构”存储添加证书的步骤 |
打开“服务器管理器”,在“功能摘要”下单击“添加功能”。选中“组策略管理”复选框,单击“下一步”,然后单击“安装”。
“安装结果”页显示 GPMC 的安装成功后,单击“关闭”。
单击「开始」,指向“管理工具”,然后单击“组策略管理”。
在控制台树中,双击包含要编辑的“默认域策略” GPO 的林和域中的“组策略对象”。
右键单击“默认域策略”GPO,然后单击“编辑”。
在 GPMC 中,依次转到“计算机配置”、“Windows 设置”、“安全设置”,然后单击“公钥策略”。
右键单击“受信任的根证书颁发机构”存储。
单击“导入”并按证书导入向导中的步骤操作以导入证书。
其他参考