red*_*888 5 windows pki public-key certificate-authority ad-certificate-services
您可以按照此处的详细说明创建和部署证书信任列表,但我试图了解与仅以正常方式使用组策略部署根证书和中间证书相比的优势。为什么我想要\需要这样做?
企业证书信任列表 (CTL) 使您能够更精细地控制哪些类型的证书以及可以信任这些证书的用途。仅仅通过组策略分发证书并不能让您很好地控制这些证书如何以及在什么情况下受到客户端的信任。
\n\n\n\n\n\n证书信任列表 (CTL) 使您能够控制外部证书颁发机构 (CA) 颁发的证书的用途和有效期的信任。
\n\n通常,证书颁发机构可以出于多种目的颁发证书,\n 例如安全电子邮件或客户端身份验证。\n 但在某些情况下,您可能希望限制对特定\n 颁发的证书的信任。证书颁发机构,\n 尤其是当 CA 位于您的组织外部时。在这些情况下,创建 CTL 并通过组策略使用它可能会很有用。
\n\n例如,假设名为“My CA”的证书颁发机构能够颁发用于服务器身份验证、客户端身份验证、代码签名和安全电子邮件的证书。但是,您只想信任“我的 CA”颁发的证书以进行客户端身份验证。您可以创建 CTL 并限制您信任“我的 CA”颁发的证书的用途,以便它们仅对客户端身份验证有效。应用 CTL 的组策略对象 (GPO) 范围内的任何计算机或用户均不接受我的 CA 出于其他目的颁发的任何证书。
\n\n一个组织中可以有多个 CTL。由于特定域或组织单位的证书的用途和信任可能不同,因此您可以创建单独的 CTL 来反映这些用途,并将特定的 CTL 分配给特定的 GPO。
\n\n通过在组织中使用组策略,您可以选择使用受信任的根证书颁发机构策略或企业信任策略 (CTL) 来指定对 CA 的信任。\n 使用以下准则来确定使用哪个 CA要使用的策略:\xe2\x80\xa2 如果您的组织拥有自己的根 CA 并使用 Active Directory,则您不需要使用组策略机制来分发这些根证书。
\n\n\xe2\x80\xa2 如果您的组织有自己的根 CA,但未安装在服务器上,则您应使用受信任的根证书颁发机构\n 策略来分发组织的根证书。有关详细信息,请参阅受信任的根证书颁发机构策略。
\n\n\xe2\x80\xa2 如果您的组织没有自己的 CA,请使用企业信任策略创建 CTL,以建立您的组织对外部根 CA 的信任。有关详细信息,请参阅使用企业信任策略。
\n
| 归档时间: |
|
| 查看次数: |
3034 次 |
| 最近记录: |