您可以创建并部署证书信任列表,详情如下这里,但我试图了解这样做比仅使用组策略以正常方式部署根证书和中间证书的优势。我为什么要这样做?
答案1
企业证书信任列表 (CTL) 可让您更细致地控制哪些类型的证书以及出于何种目的可以信任这些证书。仅通过组策略分发证书并不能让您很好地控制客户端如何以及在何种情况下信任这些证书。
证书信任列表 (CTL) 使您能够控制对外部证书颁发机构 (CA) 颁发的证书的用途和有效期的信任。
通常,证书颁发机构可以颁发用于各种目的的证书,例如安全电子邮件或客户端身份验证。但在某些情况下,您可能希望限制对特定证书颁发机构颁发的证书的信任,尤其是当 CA 不在您的组织中时。在这些情况下,创建 CTL 并通过组策略使用它可能会很有用。
例如,假设名为“我的 CA”的证书颁发机构能够颁发用于服务器身份验证、客户端身份验证、代码签名和安全电子邮件的证书。但是,您只想信任由我的 CA 颁发的用于客户端身份验证的证书。您可以创建 CTL 并限制您信任由我的 CA 颁发的证书的用途,以便它们仅对客户端身份验证有效。由我的 CA 颁发的任何用于其他用途的证书都不会被应用 CTL 的组策略对象 (GPO) 范围内的任何计算机或用户接受使用。
一个组织中可以有多个 CTL。由于特定域或组织单位的证书用途和信任可能不同,因此您可以创建单独的 CTL 来反映这些用途,并将特定 CTL 分配给特定 GPO。
通过在组织中使用组策略,您可以选择使用受信任的根证书颁发机构策略或企业信任策略 (CTL) 来指定对 CA 的信任。使用以下准则来确定要使用的策略:• 如果您的组织有自己的根 CA 并使用 Active Directory,则您无需使用组策略机制来分发这些根证书。
• 如果您的组织有自己的根 CA,但这些 CA 未安装在服务器上,则您应使用受信任的根证书颁发机构策略来分发组织的根证书。有关详细信息,请参阅受信任的根证书颁发机构策略。
• 如果您的组织没有自己的 CA,请使用企业信任策略创建 CTL,以建立组织对外部根 CA 的信任。有关更多信息,请参阅使用企业信任策略。