使用组策略为域中计算机配置受信任证书颁发机构

配置受信任证书颁发机构

如果网站的安全要求高，可以配置Web站点使用HTTPS协议访问，HTTPS协议可以实现Web站点和客户端之间进行安全通信（SSL），同时也可以向客户端出示Web站点证书，这样也可以确保该网站不可被冒充。

为了防止证书被假冒，Web站点出示的证书必须是证书颁发机构颁发，客户端必须信任证书颁发机构，如果Web站点出示的证书客由不信任的证书颁发机构颁发的，则出示安全警告。

计算机在安装操作系统是就已经将Internet上知名的证书颁发机构的证书放到了受信任的证书颁发机构。因此Internet上的Web站点如果出示的证书由这些证书颁发机构颁发的，客户端能够使用受信任的证书颁发机构的证书验证Web证书是否仿造。

以下示例将演示使用组策略配置域用户信任某个证书颁发机构。

3.17.1示例：使用组策略管理受信任的证书颁发机构

本示例将会演示用户访问石家庄商业银行网站，查看网站出示的证书，找到为该网站颁发证书的证书颁发机构。

然后使用https协议访问一个网站，该网站出示的证书由合作伙伴的证书颁发机构颁发，由于不信任证书颁发机构，出现安全提示。

现在你需要使用组策略统一配置，使域用户信任合作伙伴的证书颁发机构。这样再访问时就不出现安全提示了。

任务：

u 使用https访问银行Web站点

u 查看网站出示的证书以及颁发该证书的证书颁发机构

u 查看默认用户受信任的证书颁发机构

u 访问由不受信任证书颁发机构颁发的证书的Web站点

u 使用组策略配置域受信任根证书颁发机构

u 验证配置

步骤：

1. 如图3-387所示，在eduPC上，打开IE浏览器，输入 http://www.sccb.com.cn/ 访问石家庄市商业银行的网站。

2. 如图3-388所示，点击“个人网上银行”，重定向到 https://www.sccb.com.cn/perbank/logon_pro.jsp ，点击 ，可以看到网站标识，提示与该服务器的链接是加密的，点击“查看证书”。

图 3-387 访问银行网站 图 3-388 查看网站出示的证书

3. 如图3-389所示，在出现的证书对话框，在常规标签下，可以看到证书的目的，颁发者和颁发给以及有效期。

4. 如图3-390所示，在证书对话框，在证书路径标签下，可以看到根证书颁发机构和子证书颁发机构。用户只要信任根证书颁发机构即可。点中根证书颁发机构的证书，点击“查看证书”。

图 3-389 证书详细信息 图 3-390 证书路径

5. 如图3-391所示，在出现的证书对话框，可以看到根证书颁发机构的信息。

6. 如图3-392所示，访问 https://mail.edu2act.org 该网站是合作伙伴的网站，出现提示：此网站的安全证书有问题，点击“继续浏览此网站”。

图 3-391 根证书颁发机构证书 图 3-392 安全提示

7. 如图3-393所示，可以看到证书错误提示，点击“证书错误”，出现对话框，提示：不受信任的证书，点击“查看证书”。

8. 如图3-394所示，在出现的证书对话框，在常规标签下，可以看到颁发者为edu2act-BDC-CA。以下步骤将会使用组策略配置域中的计算机信任该证书颁发机构，使用户访问该网站不再出现安全警告。

图 3-393 查看证书 图 3-394 查看证书颁发者

9. 如图3-395所示，在DCServer上，访问edu2act-BDC-CA证书颁发机构的网站， http://bdc.edu2act.org/certsrv ，点击“下载CA证书、证书链或CRL”。

10. 如图3-395所示，在出现的新页面，点击“下载CA证书”。

图 3-395 下载CA证书 图 3-396 下载CA证书

11. 如图3-396所示，在出现的文件下载对话框，点击“保存”，下载完成后点击“关闭”。默认下载路径是C:\Users\Administrator\Downloads。

12. 如图3-397所示，打开组策略管理工具，右击ess.com域上链接的组策略Default Domain Policy，点击“编辑”。

图 3-397 下载CA证书 图 3-398 编辑组策略

13. 如图3-399所示，在出现的组策略管理编辑器对话框，右击“计算机配置”à“策略”à“Windows设置”à“安全设置”à“公钥策略”à“受信任的根证书颁发机构”，点击“导入”。

14. 如图3-400所示，在出现的欢迎使用证书导入向导对话框，点击“下一步”。

图 3-399 导入证书 图 3-400 导入证书

15. 如图3-401所示，在出现的要导入的文件对话框，浏览到下载的证书颁发机构的证书，点击“下一步”。

16. 如图3-402所示，在出现的证书存储对话框，选择“将所有证书放入下列存储”，点击“下一步”。

图 3-401 浏览CA证书 图 3-402 选择证书存储位置

17. 如图3-403所示，在出现的正在完成证书导入向导对话框，点击“完成”，在出现的导入成功对话框点击“确定”。

18. 如图3-404所示，在eduPC1上，使用gpupdate /force刷新组策略。

图 3-403 导入成功 图 3-404 刷新组策略

19. 如图3-405所示，再次访问 https://mail.edu2act.org ，可以注意到不出现安全警告。

20. 如图3-406所示，点击 ，在出现的网站标识对话框，点击“查看证书。”

21. 如图3-407所示，在出现的证书对话框，在证书路径标签下，可以看到是哪个根证书颁发机构颁发给网站的证书。

图 3-405 查看证书 图 3-406 查看证书路径

22. 如图3-407所示，点击IE浏览器“工具”à“Internet选项”。

23. 如图3-408所示，在出现的Internet选项对话框，在内容标签下，点击“证书”。

图 3-407 打开Internet选项 图 3-408 查看证书

24. 如图3-409所示，在出现的证书对话框，在受信任的根证书颁发机构标签下，可以看到组策略配置的edu2act-BDC-CA和为石家庄市商业银行网站颁发证书的根证书颁发机构Entrust Root Certification Authority，该证书颁发机构在装系统时就已经在计算机的受信任的根证书颁发机构了，所以不用配置信任就能够信任。

图 3-409 查看受信任的根证书颁发机构

本文转自 onesthan 51CTO博客，原文链接：http://blog.51cto.com/91xueit/1134015，如需转载请自行联系原作者