如何從受信任域中的證書頒發機構自動註冊證書？

我在兩個獨立的林中有兩個 Active Directory 域，都在 Windows Server 2008 R2 功能級別。域之間存在雙向林信任。

域 A 包含一個 Windows Server 2008 R2 企業根證書頒發機構；其根證書受到域中所有電腦的信任；有自動註冊策略可以自動向域中的每台電腦頒發電腦證書（像往常一樣，向 DC 頒發多個證書）。

域 B 不包含證書頒發機構，但域 A 的 CA 的根證書作為受信任的根證書通過組策略分配給域中的所有電腦，因此該 CA 頒發的任何證書都被視為有效。

我可以在域 B 中配置自動註冊策略，以便域 B 中的每台電腦自動向域 A 中的證書頒發機構請求並獲取證書嗎？

如果是，如何？

可以按照位於http://technet.microsoft.com/en-us/library/ff955842(v=ws.10).aspx的指南完成跨林註冊。這將複製支持自動註冊所需的模板和安全主體。

警告：我只用它來支持Web Enrollment，所以我沒有親自驗證它可以通過組策略推送。話雖如此，如果不能，我知道可以通過呼叫 CertUtil 的啟動腳本來完成。

引用自：https://serverfault.com/questions/437054