DFN-PKI“T-TeleSec GlobalRoot Class 2”的根证书未在 Windows 证书存储区中激活用于证书用途“代码签名”的证书。
我可以通过certmgr.msc[受信任的根证书颁发机构] > [证书] > RMB 中的“T-TeleSec GlobalRoot Class 2” > [选择角色代码签名] 来激活它。
我有 50 多台 PC 需要此设置。Group Policy Managemnt Editor 树中的 [计算机配置] > [策略] > [安全设置] > [公钥策略] > [受信任的根证书颁发机构] 为空。唯一可能的任务是 [导入证书]。
有人能建议我如何使用 GPO 向证书添加角色吗?
答案1
您当前是否正在使用组策略部署证书?如果没有,那么您需要这样做。创建 GPO,将证书添加到Computer\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities
然后启用该属性。将 GPO 链接到您的计算机所在的 OU。
当目标计算机拉取该证书时,它将被添加到注册表中:
HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\Thumbprint!Blob
答案2
您可以导入自己的证书,并在 [计算机配置] > [策略] > [安全设置] > [公钥策略] 的窗口中选择所需的角色
您的问题是它是公共证书。如果可能,您需要下载 .cer 并将其重新分发到具有正确角色的计算机,或者只需单击即可添加所有角色。