自定義證書信任列表的目的是什麼?
您可以創建和部署證書信任列表,詳見此處,但我試圖了解與僅以正常方式使用組策略部署根證書和中間證書相比的優勢。為什麼我想\需要這樣做?
企業證書信任列表 (CTL) 讓您可以更精細地控制證書的類型以及可以信任這些證書的目的。簡單地通過組策略分發證書並不能讓您準確控制這些證書在您的客戶端上如何以及在什麼情況下受信任。
證書信任列表 (CTL) 使您能夠控制對由外部證書頒發機構 (CA) 頒發的證書的目的和有效期的信任。
通常,證書頒發機構可以為多種目的頒發證書,例如安全電子郵件或客戶端身份驗證。但是在某些情況下,您可能希望限制對特定證書頒發機構頒發的證書的信任,尤其是當 CA 在您的組織之外時。在這些情況下,創建 CTL 並通過組策略使用它會很有用。
例如,假設一個名為“My CA”的證書頒發機構能夠為伺服器身份驗證、客戶端身份驗證、程式碼簽名和安全電子郵件頒發證書。但是,您只想信任 My CA 頒發的證書以進行客戶端身份驗證。您可以創建 CTL 並限制信任 My CA 頒發的證書的目的,以便它們僅對客戶端身份驗證有效。My CA 為其他目的頒發的任何證書均不被任何電腦或使用者在應用 CTL 的組策略對象 (GPO) 範圍內使用。
一個組織中可以有多個 CTL。由於特定域或組織單位的證書的使用和信任可能不同,因此您可以創建單獨的 CTL 以反映這些使用並將特定 CTL 分配給特定 GPO。
通過在組織中使用組策略,您可以選擇使用受信任的根證書頒發機構策略或企業信任策略 (CTL) 來指定對 CA 的信任。在確定要使用的策略時使用以下準則: • 如果您的組織擁有自己的根 CA 並使用 Active Directory,則無需使用組策略機制來分發這些根證書。
• 如果您的組織有自己的根CA,但沒有安裝在伺服器上,您應該使用受信任的根證書頒發機構策略來分發您組織的根證書。有關詳細資訊,請參閱受信任的根證書頒發機構策略。
• 如果您的組織沒有自己的 CA,請使用企業信任策略創建 CTL,以建立您的組織對外部根 CA 的信任。有關詳細資訊,請參閱使用企業信任策略。