如果使用证书颁发机构 (CA) 颁发智能卡登录或域控制器证书,则必须将根证书添加到 Active Directory 中受信任的根证书颁发机构组策略中。如果 Windows 域控制器充当根 CA,则不需要执行此步骤。

过程

  1. 在 Active Directory 服务器上,导航至组策略管理插件。
    AD 版本 导航路径
    Windows 2003
    1. 选择开始 > 所有程序 > 管理工具 > Active Directory 用户和计算机
    2. 右键单击域,然后单击属性
    3. 组策略选项卡上,单击打开以打开组策略管理插件。
    4. 右键单击默认域策略并单击编辑
    Windows 2008
    1. 选择开始 > 管理工具 > 组策略管理
    2. 展开您的域,右键单击默认域策略并单击编辑
    Windows 2012 R2
    1. 选择开始 > 管理工具 > 组策略管理
    2. 展开您的域,右键单击默认域策略并单击编辑
    Windows 2016
    1. 选择开始 > 管理工具 > 组策略管理
    2. 展开您的域,右键单击默认域策略并单击编辑
  2. 展开计算机配置区域,然后打开 Windows 设置\安全性设置\公钥
  3. 右键单击受信任的根证书颁发机构,然后选择导入
  4. 按照向导中的提示导入根证书(如 rootCA.cer)并单击确定
  5. 关闭“组策略”窗口。

结果

此时,域中的所有系统在其信任的根存储中都有一个根证书的副本。

下一步做什么

如果中间证书颁发机构 (CA) 为您颁发了智能卡登录或域控制器证书,请将此中间证书添加到 Active Directory 中的中间证书颁发机构组策略中。请参阅将中间证书添加到中间证书颁发机构