GPO 为根证书添加用途

GPO 为根证书添加用途

DFN-PKI“T-TeleSec GlobalRoot Class 2”的根证书未在 Windows 证书存储区中激活用于证书用途“代码签名”的证书。

我可以通过certmgr.msc[受信任的根证书颁发机构] > [证书] > RMB 中的“T-TeleSec GlobalRoot Class 2” > [选择角色代码签名] 来激活它。

在此处输入图片描述

在此处输入图片描述

我有 50 多台 PC 需要此设置。Group Policy Managemnt Editor 树中的 [计算机配置] > [策略] > [安全设置] > [公钥策略] > [受信任的根证书颁发机构] 为空。唯一可能的任务是 [导入证书]。

有人能建议我如何使用 GPO 向证书添加角色吗?

答案1

您当前是否正在使用组策略部署证书?如果没有,那么您需要这样做。创建 GPO,将证书添加到Computer\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities

然后启用该属性。将 GPO 链接到您的计算机所在的 OU。

当目标计算机拉取该证书时,它将被添加到注册表中:

HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\Thumbprint!Blob

答案2

您可以导入自己的证书,并在 [计算机配置] > [策略] > [安全设置] > [公钥策略] 的窗口中选择所需的角色

您的问题是它是公共证书。如果可能,您需要下载 .cer 并将其重新分发到具有正确角色的计算机,或者只需单击即可添加所有角色。

相关内容