越来越多的软件发行商和应用程序开发人员使用软件签名来证实其应用程序来自受信任的源。但是,许多用户不了解或不注意与其安装的应用程序关联的签名证书。

管理员使用证书路径验证策略的“受信任的发布者”选项卡中的策略设置,可以控制哪些证书可以作为来自受信任的发布者而接受。

本主题包括执行以下任务的过程:

配置本地计算机的受信任的发布者策略设置

管理员是完成此过程所需的最低组成员身份。

配置本地计算机的受信任的发布者策略设置的步骤

  1. 单击「开始」,在“搜索程序和文件”框中键入 gpedit.msc,然后按 Enter。

  2. 在控制台树中的“本地计算机策略\计算机配置\Windows 设置\安全设置”下,单击“公钥策略”

  3. 双击“证书路径验证设置”,然后单击“受信任的发布者”选项卡。

  4. 选中“定义这些策略设置”复选框,选择要应用的策略设置,然后单击“确定”应用新设置。

配置域的受信任的发布者策略设置

Domain Admins 是完成此过程所需的最低组成员身份。

配置域的受信任的发布者策略设置的步骤

  1. 单击「开始」,指向“管理工具”,然后单击“服务器管理器”

  2. “功能摘要”下,单击“添加功能”。选中“组策略管理”复选框,单击“下一步”,然后单击“安装”

  3. “安装结果”页显示已成功安装组策略管理控制台 (GPMC) 后,单击“关闭”

  4. 单击「开始」,指向“管理工具”,然后单击“组策略管理”

  5. 在控制台树中,双击包含要编辑的“默认域策略”组策略对象 (GPO) 的林和域中的“组策略对象”

  6. 右键单击“默认域策略”GPO,然后单击“编辑”

  7. 在控制台树中“计算机配置\Windows 设置\安全设置”下,单击“公钥策略”

  8. 双击“证书路径验证设置”,然后单击“受信任的发布者”选项卡。

  9. 选中“定义这些策略设置”复选框,选择要应用的策略设置,然后单击“确定”应用新设置。

仅允许管理员管理用于本地计算机代码签名的证书

管理员是完成此过程所需的最低组成员身份。

仅允许管理员管理用于本地计算机代码签名的证书的步骤

  1. 单击「开始」,在“搜索程序和文件”中键入 gpedit.msc,然后按 Enter。

  2. 在控制台树中的“默认域策略”“本地计算机策略”下,双击“计算机配置”“Windows 设置”“安全设置”,然后单击“公钥策略”

  3. 双击“证书路径验证设置”,然后单击“受信任的发布者”选项卡。

  4. 选中“定义这些策略设置”复选框。

  5. “受信任的发布者管理”下,单击“仅允许所有管理员管理受信任的发布者”,然后单击“确定”应用新设置。

仅允许管理员管理用于域代码签名的证书

Domain Admins 是完成此过程所需的最低组成员身份。

仅允许管理员管理用于域代码签名的证书的步骤

  1. 单击「开始」,指向“管理工具”,然后单击“服务器管理器”

  2. “功能摘要”下,单击“添加功能”。选中“组策略管理”复选框,单击“下一步”,然后单击“安装”

  3. “安装结果”页显示 GPMC 的安装成功后,单击“关闭”

  4. 单击「开始」,指向“管理工具”,然后单击“组策略管理”

  5. 在控制台树中,双击包含要编辑的“默认域策略” GPO 的林和域中的“组策略对象”

  6. 右键单击“默认域策略”GPO,然后单击“编辑”

  7. 在控制台树中“计算机配置\Windows 设置\安全设置”下,单击“公钥策略”

  8. 双击“证书路径验证设置”,然后单击“受信任的发布者”选项卡。

  9. 选中“定义这些策略设置”复选框,实施所需的更改,然后单击“确定”以应用新设置。

其他参考

目录