我有一个独立的根 CA,还有一个加入域的从属 CA。我最近更新了根 CA 和从属 CA 的证书。如何将这些证书推送到客户端计算机上的受信任根证书存储中。
答案1
有两种方法。您可以使用组策略将证书分发给域客户端,也可以使用certutil.exe -dspublish -f <certfilename> RootCA。这两种方法各有优势。dspublish前者更简单,但组策略方法更灵活一些。使用组策略,您可以将证书的接收者范围限定为某些 OU,配置扩展属性,如扩展验证、OCSP 响应器等。
http://technet.microsoft.com/en-us/library/cc782744(v=WS.10).aspx
或者
但您不需要同时做这两件事。