使用组策略将证书分发到 Windows 设备

可使用组策略将链接到 Active Directory 域中受信任根的证书分发到 Windows 设备。

先决条件

开始前,需要具备:

  • 带私钥的证书。 若需导出证书,请参阅导出带私钥的证书

  • 安装了组策略管理管理单元的 Active Directory 域控制器或是安装了远程服务器管理工具 (RSAT) 的设备,可连接到域控制器。

  • 包含属于域管理员企业管理员域安全组成员的 Active Directory 域。 有关使用适当帐户和组成员身份的详细信息,请参阅本地和域默认组

将证书导入组策略

  1. 在安装了 RSAT 的域控制器或设备上,启动组策略管理管理单元。

  2. 查找现有组策略对象 (GPO),或为证书设置创建新的 GPO。 确保 GPO 与相应用户和计算机帐户所在的域、站点或组织单位 (OU) 相关联。

  3. 右键单击 GPO,然后选择编辑

  4. 在控制台树中,打开计算机配置 > 策略 > Windows 设置 > 安全设置 > 公钥策略,右键单击要向其导入证书的存储区(例如,受信任的根证书颁发机构),然后选择导入

  5. 欢迎使用证书导入向导屏幕上,选择下一步

  6. 对于要导入的文件,请输入或浏览到相应证书文件的路径(例如 \\fs1\c$\fs1.cer),然后选择下一步

  7. 对于私钥保护,请输入私钥的密码并选择包括所有扩展属性,然后选择下一步

  8. 对于证书存储,请选择将所有证书放入下列存储,浏览到用于存储该证书的证书存储,然后选择下一步

  9. 查看摘要,然后选择完成

  10. 导入证书后,将策略应用到设备,然后重启这些设备以使设置生效。