如果 View Server 憑證是由用戶端電腦和存取 View Administrator 的用戶端電腦不信任的 CA 所簽署,您可以設定網域中的所有 Windows 用戶端系統信任根憑證和中繼憑證。若要這麼做,您必須將根憑證的公開金鑰新增到 Active Directory 中受信任的根憑證授權單位群組原則,並將根憑證新增到 Enterprise NTAuth 存放區。

執行這項作業的原因和時機

例如,如果您的組織使用內部憑證服務,可能必須採取這些步驟。

如果 Windows 網域控制站當做根 CA,或者如果您的憑證是由知名 CA 所簽署,則無需採取這些步驟。對於知名的 CA,作業系統廠商會將根憑證預先安裝在用戶端系統上。

如果您的伺服器憑證是由不知名的中繼 CA 所簽署,則必須將中繼憑證新增到 Active Directory 中的中繼憑證授權單位群組原則。

對於使用 Windows 以外作業系統的用戶端裝置,請參閱有關散發使用者可安裝之根憑證和中繼憑證的下列指示:

先決條件

確認伺服器憑證是以 1024 或更大的 KeyLength 值所產生。用戶端端點不會驗證伺服器上以低於 1024 的 KeyLength 產生的憑證,而且用戶端將無法連線至伺服器。

程序

  1. 在 Active Directory 伺服器上,使用 certutil 命令將憑證發佈到 Enterprise NTAuth 存放區。

    例如:certutil -dspublish -f path_to_root_CA_cert NTAuthCA

  2. 在 Active Directory 伺服器上,瀏覽至群組原則管理外掛程式。

    AD 版本

    瀏覽路徑

    Windows 2003

    1. 選取開始 > 所有程式 > 系統管理工具 > Active Directory 使用者和電腦

    2. 在您的網域上按一下滑鼠右鍵,然後按一下 內容

    3. 群組原則 標籤上,按一下 開啟 以開啟群組原則管理外掛程式。

    4. 預設網域原則 上按一下滑鼠右鍵,然後按一下 編輯

    Windows 2008

    1. 選取開始 > 系統管理工具 > 群組原則管理

    2. 展開您的網域,在 預設網域原則 上按一下滑鼠右鍵,然後按一下 編輯

  3. 展開電腦組態區段,並移至 Windows 設定 > 安全性設定 > 公開金鑰原則
  4. 匯入憑證。

    選項

    說明

    根憑證

    1. 以滑鼠右鍵按一下受信任的根憑證授權單位,然後選取匯入

    2. 依照精靈中的提示,匯入根憑證 (例如,rootCA.cer),然後按一下確定

    中繼憑證

    1. 以滑鼠右鍵按一下中繼憑證授權單位,然後選取匯入

    2. 依照精靈中的提示,匯入中繼憑證 (例如,intermediateCA.cer),然後按一下確定

  5. 關閉群組原則視窗。

結果

現在,網域內所有系統的受信任根憑證存放區和中繼憑證存放區中皆已包含憑證資訊,可讓它們信任根憑證和中繼憑證。