使用 Windows AD 证书服务分发根证书

Question

Windows Server 提供证书颁发机构服务。但是，从其文档中不清楚根证书如何（或是否）分发给客户端。

• 域成员计算机是否自动信任根证书？
  • 如果是这样，他们如何以及何时获得证书？
• 安装或信任根证书是否需要任何用户交互？
• 客户端是否轮询 Active Directory？它在 AD DNS 中吗？
• 它只会在登录时得到它吗？
• 如果域成员远程 VPN 进入 LAN 怎么办？
• 对于不同版本的 Windows 客户端是否有任何警告？

Answer 1

用于分发的方法取决于您设置的 CA 类型（独立/企业）。

对于独立或非 Microsoft CA，您通常使用组策略分发它。

看：

• 相关问题：SF：如何部署内部证书颁发机构？
• TechNet：使用策略分发证书

当您在域中安装企业证书颁发机构时，这会自动发生。

来自 TechNet：企业认证机构（存档在此处。）

当您安装企业根 CA 时，它使用组策略将其证书传播到域中所有用户和计算机的受信任根证书颁发机构证书存储。