使用 Windows AD 证书服务分发根证书

分发所使用的方法取决于您设置的 CA 类型（独立/企业）。

对于独立或非 Microsoft CA，您通常使用组策略进行分发。

看：

• 相关问题：SF：如何部署内部证书颁发机构？
• TechNet：使用策略分发证书

当您在域中安装企业证书颁发机构时，这种情况会自动发生。

来自 TechNet：企业认证机构（存档这里。

当您安装企业根 CA 时，它会使用组策略将其证书传播到域中所有用户和计算机的受信任的根证书颁发机构证书存储区。

根据我的经验，一旦您设置了 CA 并且证书存储在 ADDS 中，计算机就会在下次启动时获取它并存储在计算机受信任的根存储中。我通常将 CA 放在我管理的所有 AD 域中，因为它为使用 CA 满足您的所有证书需求提供了选项，而域成员计算机无需做任何额外工作。这包括使用证书的 Windows Server 2008 R2 SSTP VPN 或 L2TP IPSec。传统的 PPTP 不使用证书。

稍微不相关，但是如果你想让人们使用 VPN期间登录时，您应该使用 GPO 推送 VPN 配置，或者在计算机上手动创建 VPN 时，选中“使所有用户可用”框，该框将 VPN 配置存储在公共配置文件中，而不是特定用户配置文件中。完成后，在登录之前，单击切换用户按钮 (vista/7)，您将在关机按钮右下角看到一个新的 VPN 图标。这解决了“新用户未先登录网络就登录”的问题。

最后，当您创建根 CA 时，请确保它运行的是 Windows Enterprise，否则证书服务将受到损害（在标准版中），并且我不会将有效期设置为少于 10 年，以节省您将来的一些工作。

标准做法是通过组策略对象 (GPO) 分发任何受信任的根证书，包括在您自己的域内。这可以通过创建一个具有适当链接和针对以下对象进行安全过滤的新 GPO 来实现：域计算机和域控制器内置安全组。这可确保加入域的 Windows 计算机对象拥有一组标准化的受信任根证书。

GPO 本身可以在Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities正确的存储中找到并指定。然后，客户端将在重新启动时和/或在其下一个 GPO 处理间隔期间收到该策略，这可以使用命令强制执行gpupdate /force。