如果使用证书颁发机构 (CA) 颁发智能卡登录或域控制器证书,则必须将根证书添加到 Active Directory 中受信任的根证书颁发机构组策略中。如果 Windows 域控制器充当根 CA,则不需要执行此步骤。
过程
- 在 Active Directory 服务器上,导航至组策略管理插件。
AD 版本 导航路径 Windows 2003 - 选择 。
- 右键单击域,然后单击属性。
- 在组策略选项卡上,单击打开以打开组策略管理插件。
- 右键单击默认域策略并单击编辑。
Windows 2008 - 选择 。
- 展开您的域,右键单击默认域策略并单击编辑。
Windows 2012 R2 - 选择 。
- 展开您的域,右键单击默认域策略并单击编辑。
Windows 2016 - 选择 。
- 展开您的域,右键单击默认域策略并单击编辑。
- 展开计算机配置区域,然后打开 Windows 设置\安全性设置\公钥。
- 右键单击受信任的根证书颁发机构,然后选择导入。
- 按照向导中的提示导入根证书(如 rootCA.cer)并单击确定。
- 关闭“组策略”窗口。
结果
此时,域中的所有系统在其信任的根存储中都有一个根证书的副本。
下一步做什么
如果中间证书颁发机构 (CA) 为您颁发了智能卡登录或域控制器证书,请将此中间证书添加到 Active Directory 中的中间证书颁发机构组策略中。请参阅将中间证书添加到中间证书颁发机构。