使用Windows AD证书服务分发根证书

Windows Server提供了证书颁发机构服务。但是，从其文档中尚不清楚根证书如何（或是否）分发给客户端。

• 域成员计算机是否自动信任根证书？
  • 如果是这样，他们如何以及何时获得证书？
• 要安装或信任根证书是否需要任何用户交互？
• 客户端是否轮询Active Directory？在AD DNS中吗？
• 它只会在登录时得到吗？
• 如果域成员远程VPN到LAN怎么办？
• 是否有针对不同版本的Windows客户端的警告？

用于分发的方法取决于您设置的CA类型（独立/企业）。

对于独立或非Microsoft CA，通常使用组策略分发它。

看到：

• 相关问题：SF：如何部署内部证书颁发机构？
• TechNet：使用策略来分发证书

在域中安装企业证书颁发机构时，这会自动发生。

来自TechNet：企业证书颁发机构（在此处存档。）

安装企业根CA时，它使用组策略将其证书传播到域中所有用户和计算机的“受信任的根证书颁发机构”证书存储。

我的经验是，一旦您设置了CA，并且证书存储在ADDS中，计算机将在下次启动时将其抓取并存储在计算机受信任的根存储中。我通常将CA放在我管理的所有AD域中，因为它打开了使用CA满足所有证书需求的选项，而无需为域成员计算机进行任何其他工作。这包括使用证书的Windows Server 2008 R2 SSTP VPN或L2TP IPSec。传统的PPTP不使用证书。

略微无关，但是如果您希望人们在登录期间使用VPN ，则应使用GPO推送VPN配置，或者当您在计算机上手动创建VPN时，选中“将所有用户都可用”框，将VPN配置存储在公开个人资料，而不是特定用户个人资料。完成后，在登录之前，单击切换用户按钮（vista / 7），您将在关闭按钮的右下方看到一个新的VPN图标。这就解决了“新用户无需先登录就可以登录”的问题。

最后，当您创建根CA时，请确保它正在运行Windows Enterprise或证书服务将被削弱（在标准版中），并且我不会将其过期期限定在10年以内，以便将来为您节省一些工作。

一种标准做法是通过组策略对象（GPO）分发任何受信任的根证书，包括在您自己的域内。这可以通过创建一个新的GPO来完成，该GPO具有针对域计算机和域控制器 BUILTIN安全组的正确链接和安全筛选。这样可以确保加入Windows计算机对象的域具有一组标准化的“受信任的根”证书。

GPO本身可以Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities在正确的商店中找到并指定正确的商店。然后，客户端将在重新启动时和/或在其下一个GPO处理间隔期间接收该策略，可以使用该gpupdate /force命令来强制执行该策略。