证书是重要的凭据。管理员可能不希望让用户决定信任哪些证书和不信任哪些证书。通常,应该由管理员或者非常了解特定证书及其组织的信任含意的某个人来决定信任还是不信任特定证书。

可以使用组策略向客户端分发以下类型的证书。

证书类型 描述

受信任的根证书颁发机构

隐式受信任的证书颁发机构 (CA)。包括在第三方根证书颁发机构存储区中的所有证书,以及来自您自己的组织和 Microsoft 的根证书。

企业信任

证书信任列表提供了一种机制,用于信任来自其他组织的自签名根证书以及限制信任这些证书的目的。

中级证书颁发机构

颁发给从属 CA 的证书。

受信任的发布者

来自受信任的 CA 的证书。

不受信任的证书

您已经明确决定不信任的证书,不信任的原因是对于其既定用途它们不再有效,或者它们来自域客户端不应该信任的源。

受信任人

颁发给明确信任的人员或最终实体的证书。在大多数情况下,这些是自签名证书,或者在应用程序(如 Microsoft Outlook)中明确信任的证书。

Domain Admins 中的成员身份或等效身份是完成此步骤所需的最低要求。有关详细信息,请参阅实现基于角色的管理

向域的“受信任的根证书颁发机构”存储添加证书的步骤
  1. 单击「开始」,指向“管理工具”,然后单击“组策略管理”

  2. 在控制台树中,双击包含要编辑的“默认域策略”组策略对象 (GPO) 的林和域中的“组策略对象”

  3. 右键单击“默认域策略”GPO,然后单击“编辑”

  4. 在组策略管理控制台 (GPMC) 中,依次转到“计算机配置”“Windows 设置”“安全设置”,然后单击“公钥策略”

  5. 右键单击“受信任的根证书颁发机构”存储。

  6. 单击“导入”并按证书导入向导中的步骤操作以导入证书。


目录