使用 Windows AD 證書服務分髮根證書

Windows Server 提供證書頒發機構服務。但是，從其文件中不清楚如何（或是否）將根證書分發給客戶端。

• 域成員電腦是否自動信任根證書？

  • 如果是這樣，他們如何以及何時獲得證書？

• 安裝或信任根證書是否需要任何使用者互動？

• 客戶端是否輪詢 Active Directory？它在 AD DNS 中嗎？

• 它只會在登錄期間獲得它嗎？

• 如果域成員遠端 VPN 進入區域網路怎麼辦？

• 對於不同版本的 Windows 客戶端是否有任何警告？

用於分發的方法取決於您設置的 CA 類型（獨立/企業）。

對於獨立或非 Microsoft CA，您通常使用組策略分發它。

看：

• 相關問題：SF：如何部署內部證書頒發機構？
• TechNet：使用策略分發證書

當您在域中安裝企業證書頒發機構時，這會自動發生。

來自 TechNet：企業認證機構（在此處存檔。）

安裝企業根 CA 時，它使用組策略將其證書傳播到域中所有使用者和電腦的受信任根證書頒發機構證書儲存區。

引用自：https://serverfault.com/questions/358994