我们在域中有一个 Win2k8 作为域控制器,其中工作站运行 Windows XP。我希望能够通过 GPO 安装我自己生成的新的受信任根证书颁发机构证书。
我创建了一个 GPO,在计算机配置\Windows 设置\安全设置\公钥策略\受信任的根证书颁发机构中导入了证书,并将该 GPO 分配给了一组用户。当我在工作站上执行 gpupdate /force 时,我看不到正在导入的证书...即使我重新启动工作站也是如此。
接下来,我想如果我直接在 DC 上创建中间根证书颁发机构并通过 GPO 部署中间根证书颁发机构,也许我可以做得更好。为中间颁发机构生成证书并将其导入到中间认证机构下的同一 GPO 中。
再次运行 gpupdate /force(并重新启动)并检查工作站。在“中间”或“根权限”部分都看不到任何内容。
经过一番谷歌搜索,我终于找到了这个 MSI 包关联,通过 GPO 将其安装在两个工作站上,并在工作站上运行 gpupdate /force,并注意到中间颁发机构证书已安装在工作站上,但根 CA 未安装。
有人知道我下一步可以尝试什么吗?
谢谢。
LE。忘记提到根 CA 位于独立机器上,不属于域的一部分,我计划将其保持离线状态。
答案1
我已经创建了一个 GPO,在计算机配置\Windows 设置\安全设置\公钥策略\受信任的根证书颁发机构中导入了证书,并将该 GPO 分配给一组用户
如果您使用“计算机配置”策略树,则需要将其链接到 OU,其中计算机帐户被存储。
如果您需要将证书安装到用户的证书存储中,那么certutil
可能会有所帮助。Microsoft 关于 certutil 的文档。使用certutil -installcert <certfile>
(我认为可以以用户身份运行)或certutil -addstore -user root <cert file>
在登录脚本中。注意,我还没有测试过这些,这些命令直接来自帮助certutil -v -?
。
答案2
我们之前也遇到过类似的问题。如果我没记错的话,这个对我们有帮助:
计算机配置 > Windows 设置 > 公钥策略 > 双击证书路径验证设置,然后单击存储选项卡。
选中定义这些策略设置复选框。
在“每个用户证书存储”下,清除“每个用户证书存储”复选框中的“允许用户使用受信任的根 CA 来验证证书”和“允许用户信任对等信任证书”选项。
然后使用 gpupdate /force。
希望这能解决您的问题。
答案3
在这种情况下,为什么不部署中间 CA 来颁发证书?如果独立 CA 可以联系域控制器,它会将自己的证书发布到适当的 AD 容器,这是默认行为。如果触发自动注册,计算机可以请求证书。最好的方法是使用企业根和颁发 CA。独立 CA 在注册和部署方面有局限性。配置可以在这里。 祝你好运!
答案4
slm 很接近,但您不需要取消选中“ Allow user trusted root CAs to be used to validate certificates
”和"Allow users to trust peer trust certificates option in the Per User Certificate Stores
“ ”,而是需要选中复选框。
- 编辑部署证书的 GPO
- 在组策略管理编辑器中,计算机配置 > Windows 设置 > 公钥策略 > 在右侧窗格中双击证书路径验证设置。
- 在“存储”选项卡中,选中“定义这些策略设置”复选框。在“每个用户证书存储”下,选择“允许用户使用受信任的根 CA 来验证证书”,并在“每个用户证书存储”复选框中选择“允许用户信任对等信任证书”选项。
在 PC 上运行gpupdate/force
,证书将被部署。还请记住将 GPO 链接到 PC 所属的 OU。