通过GPO安装受信任的根证书颁发机构证书
在运行Windows的工作站的域中,我们有一个作为域控制器的Win2k8。我希望能够通过GPO安装一个新的受信任的根证书颁发机构证书,这是我自己生成的。
我已经创建了一个GPO,导入了计算机配置\Windows设置\安全设置\公钥策略\受信任的根证书颁发机构中的证书,并将GPO分配给一组用户。当我在工作站上做一个gpupdate /force时,我看不到正在导入的证书.即使我重新启动了车站。
接下来,我认为,如果我直接在DC上创建一个中间根证书颁发机构,并通过GPO部署中间根证书颁发机构,我可能会做得更好。为中级权威机构生成证书,并将其导入中级认证机构下的同一GPO。
再次,运行gpupdate /force (并重新启动)并检查工作站。无法在中间部分或根权限部分看到任何内容。
googling搜索了一下后,设法找到了这个MSI包链接,通过GPO在两个工作站上安装了它,并在工作站上运行了gpupdate /force,并注意到中间授权证书已安装在工作站上,但根CA没有安装。
有谁知道我下一步能做什么吗?
谢谢。
勒伊。忘记提到根CA是在一个独立的机器上,不是域的一部分,我计划保持离线。
回答 4
Server Fault用户
发布于 2013-04-02 23:04:13
我创建了一个GPO,在计算机配置中导入了证书\Windows设置\安全设置\公钥策略\受信任的根证书颁发机构,并将GPO分配给一组用户
如果使用“计算机配置”策略树,则需要将其链接到存储计算机帐户的OU。
如果您需要将证书安装到用户的证书存储区,那么certutil mioght帮助。微软关于certutil的文档。在登录脚本中使用certutil -installcert <certfile> (我认为可以以用户身份运行)或certutil -addstore -user root <cert file>。注意,我还没有测试这些,这些命令都是直接来自help certutil -v -?的。
Server Fault用户
发布于 2013-01-29 12:08:39
不久前我们也遇到了类似的问题。如果我没记错的话,这对我们有帮助:
- 计算机配置> Windows设置>公钥策略>双击“证书路径验证设置”,然后单击“存储”选项卡。
- 选中“定义这些策略设置”复选框。
- 在“每个用户证书存储”下,清除用于验证证书的“允许用户受信任的根CA”,并在“每个用户证书存储”复选框中清除“允许用户信任对等信任证书”选项。
- 然后使用gpupdate /force。
希望这能解决你的问题。
Server Fault用户
发布于 2013-01-29 12:32:43
在这种情况下,为什么不部署一个中间CA来颁发证书呢?如果独立CA可以与域控制器联系,它就会将自己的证书发布到适当的AD容器中,这是默认行为。如果自动注册被触发,计算机可以请求证书。最好的方法是使用企业根和颁发CA。独立CA在注册和部署方面有限制。配置可以找到这里。祝好运!
https://serverfault.com/questions/473378
复制相似问题
腾讯云开发者
