在运行Windows XP的工作站的域中,我们有一个Win2k8作为域控制器。 我希望能够通过GPO安装我自己生成的新的受信任根证书颁发机构证书。
我已经创build了一个GPO,在计算机configuration\ Windows设置\安全设置\公钥策略\受信任的根证书颁发机构中导入了证书,并将该GPO分配给一组用户。 当我在工作站上执行gpupdate / force时,我看不到要导入的证书…即使我重新启动该工作站。
接下来,认为如果我直接在DC上创build一个中间根证书颁发机构,并通过GPO部署中间根证书颁发机构,我可以做得更好。 为中间授权机构生成证书并将其导入到中间证书颁发机构下的同一个GPO中。
再次运行gpupdate / force(并重启)并检查工作站。 在Imtermediate或Root Authorities部分看不到任何东西。
经过一番search后,设法find这个MSI包链接 ,通过GPO安装在两个工作站上,并在工作站上运行gpupdate / force,并注意到中间机构证书已经安装在工作站上,但根CA没有。
有没有人有任何想法我可以尝试下?
谢谢。
LE。 忘了提及根CA是在一个独立的机器上,而不是域的一部分,我打算保持离线。
我已经创build了一个GPO,在计算机configuration\ Windows设置\安全设置\公钥策略\受信任的根证书颁发机构中导入了证书,并将该GPO分配给一组用户
如果您正在使用“计算机configuration”策略树,则需要将其链接到存储计算机帐户的OU。
如果您需要将证书安装到用户的证书存储中,则certutil mioght将提供帮助。 微软的certutil文档 。 在login脚本中使用certutil -installcert <certfile> (我认为可以作为用户运行)或certutil -addstore -user root <cert file> 。 请注意,我没有testing过这些,命令直接从帮助certutil -v -? 。
我们前段时间也有类似的问题。 如果我没有记错的话,这帮助了我们:
计算机configuration> Windows设置>公钥策略>双击证书pathvalidation设置,然后单击商店选项卡。
select定义这些策略设置checkbox。
在“每用户证书存储”下,清除“允许用户信任的根证书颁发机构用于validation证书并允许用户信任”每用户证书存储“checkbox中的对等机构信任证书选项。
然后使用gpupdate / force。
希望这可以解决你的问题。
在这种情况下,为什么不部署中间CA来颁发证书呢? 如果独立CA可以联系域控制器,它将它自己的证书发布到相应的AD容器,这是默认行为。 如果自动注册被触发,计算机可以请求证书。 最好的方法是使用企业根目录和颁发CA. 独立的CA在注册和部署时有局限性。 configuration可以在这里find。 祝你好运!
slm已closures,但是您不想取消勾选“ Allow user trusted root CAs to be used to validate certificates ”和"Allow users to trust peer trust certificates option in the Per User Certificate Stores ”,您需要检查这些checkbox。
在PC上运行gpupdate/force ,证书将被部署。 还请记住将GPO链接到PC所属的OU。