使用组策略将证书分发到 Windows 设备

可使用组策略将链接到 Active Directory 域中受信任根的证书分发到 Windows 设备。

先决条件

开始前，需要具备：

• 带私钥的证书。 若需导出证书，请参阅导出带私钥的证书。

• 安装了组策略管理管理单元的 Active Directory 域控制器或是安装了远程服务器管理工具 (RSAT) 的设备，可连接到域控制器。

• 包含属于域管理员或企业管理员域安全组成员的 Active Directory 域。 有关使用适当帐户和组成员身份的详细信息，请参阅本地和域默认组。

将证书导入组策略

1. 在安装了 RSAT 的域控制器或设备上，启动组策略管理管理单元。

2. 查找现有组策略对象 (GPO)，或为证书设置创建新的 GPO。 确保 GPO 与相应用户和计算机帐户所在的域、站点或组织单位 (OU) 相关联。

3. 右键单击 GPO，然后选择编辑。

4. 在控制台树中，打开计算机配置 > 策略 > Windows 设置 > 安全设置 > 公钥策略，右键单击要向其导入证书的存储区（例如，受信任的根证书颁发机构），然后选择导入。

5. 在欢迎使用证书导入向导屏幕上，选择下一步。

6. 对于要导入的文件，请输入或浏览到相应证书文件的路径（例如 \\fs1\c$\fs1.cer），然后选择下一步。

7. 对于私钥保护，请输入私钥的密码并选择包括所有扩展属性，然后选择下一步。

8. 对于证书存储，请选择将所有证书放入下列存储，浏览到用于存储该证书的证书存储，然后选择下一步。

9. 查看摘要，然后选择完成。

10. 导入证书后，将策略应用到设备，然后重启这些设备以使设置生效。