如果使用中间证书颁发机构 (CA) 颁发智能卡登录或域控制器证书,则必须将中间证书添加到 Active Directory 的中间证书颁发机构组策略中。

过程

  1. 在 Active Directory 服务器上,导航至组策略管理插件。
    AD 版本 导航路径
    Windows 2003
    1. 选择开始 > 所有程序 > 管理工具 > Active Directory 用户和计算机
    2. 右键单击域,然后单击属性
    3. 组策略选项卡上,单击打开以打开组策略管理插件。
    4. 右键单击默认域策略并单击编辑
    Windows 2008
    1. 选择开始 > 管理工具 > 组策略管理
    2. 展开您的域,右键单击默认域策略并单击编辑
    Windows 2012 R2
    1. 选择开始 > 管理工具 > 组策略管理
    2. 展开您的域,右键单击默认域策略并单击编辑
    Windows 2016
    1. 选择开始 > 管理工具 > 组策略管理
    2. 展开您的域,右键单击默认域策略并单击编辑
  2. 展开计算机配置区域,然后打开 Windows 设置\安全性设置\公钥策略。
  3. 右键单击中间证书颁发机构,然后选择导入
  4. 按照向导中的提示导入中间证书(如 intermediateCA.cer)并单击确定
  5. 关闭“组策略”窗口。

结果

此时,域中的所有系统在其中间证书颁发机构存储区中都有一个中间证书的副本。