可以使用域组策略在 Active Directory 域服务 (AD DS) 环境中管理与证书有关的以下类型的活动:
-
凭据漫游
-
证书的自动注册
-
证书路径验证
-
证书分发
凭据漫游
凭据漫游允许将 X.509 证书、证书申请和特定于 AD DS 中的用户私钥单独存储在用户配置文件中,并且在网络中的任何计算机上使用。
数字证书和私钥涉及相对少量的数据,需要采用安全方法存储这些数据。凭据漫游策略提供一种在多台计算机上管理这些凭据使用的方法,该方法可满足数字证书和私钥的安全存储和大小要求。在 Windows Server 2008 R2 和 Windows Server 2008 中,凭据漫游策略包括存储的用户名和密码以及证书和密钥。
有关详细信息,请参阅启用凭据漫游。
有关凭据漫游,以及在 Windows Server 2008、Windows Server 2003、Windows Vista 和 Windows XP 之间实现凭据漫游的主要差别的详细信息,请参阅“配置和证书服务客户端–凭据漫游问题疑难解答” (
证书自动注册
很多组织使用组策略自动注册证书的用户、计算机或服务。
有关详细信息,请参阅配置证书自动注册。
证书路径验证
随着对安全通信和数据保护越来越多地使用证书,管理员可以使用证书信任策略通过各种证书路径验证选项来增强对证书使用的控制和公钥基础结构的性能。
使用组策略中的证书路径验证设置,管理员可以管理存储、受信任的发布者、网络检索和吊销检查。
有关详细信息,请参阅管理证书路径验证。