通过组策略实现客户端注册证书

一些客户机器长时间没有上网，不能及时更新新证书，为了解除各个终端机手动安装证书的困扰，采用组策略推送，实现各个终端机的证书自动注册。

方式一：

1、打开DC服务器的“Active Directory用户和计算机”工具，如下图打开hq.corp.csg域的属性。

 

2、点击“组策略标”标签，新建一个策略。

 

3、选中新建的策略，按“编辑”打开“组策略编辑器”。

 

4、在“组策略编辑器”依次展开“计算机配置”－〉“Windows设置”－〉“安全设置”－〉“公钥策略”－〉“受信任的根证书颁发机构”。

 

5、选中“受信任的根证书颁发机构”，点击鼠标右键，选择“导入”。

 

6、按“下一步”。

 

7、点击“浏览”，选择需要导入的根证书。

 

8、按“下一步”。

 

9、按“下一步”。

 

10、按“完成”。

 

11、按“确定”完成导入操作。

 

12、确保需颁发的证书已经存在策略中，关闭“组策略编辑器”完成证书颁发策略。

 

13、客户端机器重启后，可看到证书颁发成功。

 

方式二：

1、登陆域控DC，打开GPMC管理控制台，新建组策略“证书分发”。

2、导入证书。

3、选择需要导入的证书。

4、将证书放入受信任的证书颁发机构。

5、完成组策略的创建。
6、链接组策略。

7、选择刚刚创建的组策略“证书分发”。

8、组策略链接完成。