Windows Server提供证书颁发机构服务。 但是,从文档中不清楚如何(或者如果)根证书分发给客户端。
用于分发的方法取决于您设置的CA的types(独立/企业)。
对于独立或非微软的CA,您通常会使用组策略来分发此信息。
看到:
在域中安装企业证书颁发机构时,会自动发生这种情况。
来自TechNet: 企业authentication机构 ( 在此处存档)
安装企业根CA时,它使用组策略将其证书传播到域中所有用户和计算机的受信任根证书颁发机构证书存储区。
这是我的经验,一旦你设置CA和证书被存储在ADDS,一台计算机将抓住它在下次启动,并存储在计算机受信任的根存储。 我通常把CA放在我所pipe理的所有AD域中,因为它打开了将CA用于所有证书需求的选项,而不需要额外的域成员计算机工作。 这包括使用证书的Windows Server 2008 R2 SSTP VPN或L2TP IPSec。 传统的PPTP不使用证书。
稍微不相关,但是如果你希望人们在login期间使用VPN,你应该使用GPO来推送一个VPNconfiguration,或者当你在一台计算机上手动创buildVPN时,检查“允许所有用户”公共configuration文件而不是特定用户configuration文件。 一旦完成,在login之前,点击切换用户button(vista / 7),你会看到closuresbutton右下angular的一个新的VPN图标。 这解决了“一个新的用户先login而不在networking上”的问题。
最后,当您创build根CA时,请确保它正在运行Windows Enterprise或证书服务将被削弱(以标准版为准),并且我将不会在10年后过期以节省您未来的一些工作。