Si utiliza una CA para expedir certificados del controlador de dominio o de inicio de sesión de tarjetas inteligentes, debe agregar el certificado raíz al almacén Enterprise NTAuth en Active Directory. No es necesario realizar este procedimiento si el controlador de dominio de Windows actúa como la CA raíz.

Procedimiento

En el servidor de Active Directory, use el comando certutil para publicar el certificado en el almacén Enterprise NTAuth.
Por ejemplo: certutil -dspublish -f path_to_root_CA_cert NTAuthCA

Resultados

Ahora, la CA es de confianza para expedir certificados de este tipo.