實現證書自動信任機制

利用證書，可以實現加密和認證機制，可以有力的保護網絡安全。要想使用證書，用戶必須向CA證書頒發機構進行申請，才可以得到并安裝證書。但是，要想讓證書發揮作用，用戶的計算機必須信任CA證書頒發機構。

例如，在域環境中，對于企業根CA來說，域中的所有主機都可以自動信任該企業根CA。但是，如果采用獨立根CA，并由非域管理員等權限較低的用戶安裝在成員服務器，就需要用戶手工下載CA根證書，之后導入到本機中的受信任的根證書頒發機構列表中。當然，對于外網上的獨立根CA來說，用戶的計算機也不會自動信任其根CA。其實，使用組策略就可以輕松解決上述根證書的信任問題。

信任內網中的獨立根CA

在一些公司內網中，獨立CA是安裝在成員服務器上的，而且安裝者并不具備訪問活動目錄域服務的權限。在域中的某臺主機上訪問“http://xxx.xxx.xxx.xxx/certsrv”地址，其中的“xxx.xxx.xxx.xxx”為獨立根CA的主機地址，在證書申請頁面中點擊“下載CA證書、證書鏈或CRL”鏈接，在下一步頁面中點擊“下載CA證書鏈”鏈接，會得到名為“certnew.p7b”的文件，其中包含證書和證書路徑信息。如果點擊“下載CA證書”鏈接，會得到名為“certnew.cer”的文件，這僅僅是一個證書而不包含證書存儲路徑信息。

圖1 導入受信任的根證書頒發機構

如果該機已經存儲有CA根證書，可以在IE的Internet選項窗口中打開“內容”面板，點擊“證書”按鈕，在證書窗口中的“受信任的很證書頒發機構”面板中找到目標CA根證書，點擊導出按鈕，在向導界面中選擇“DER編碼二進制X.509”或“Base64編碼二進制X.509”項，將得到后綴為“.cer”的證書。選擇“加密消息語法標準-PKCS #7證書”項，可以得到后綴為“.p7b”的證書文件。在下一步窗口中輸入證書的名稱，將其導出即可。

在域控制器上打開組策略管理窗口，在左側選擇“組策略管理→林→域→具體的域名→Default Domain Policy”項，在右鍵菜單上點擊“編輯”項，可以編輯整個域的缺省策略。當然，也可以選擇其中OU，來對其進行編輯。在組策略編輯窗口左側，選擇“計算機配置→策略→Windows設置→安全設置→公鑰策略→受信任的根證書頒發機構”項，在右鍵菜單上點擊“導入”項，在向導界面（如圖1）中點擊瀏覽按鈕，選擇上述后綴為“.p7b”的文件，在下一步的證書存儲窗口中選擇“將所有的證書放入下列存儲”項，點擊瀏覽按鈕，選擇“受信任的證書頒發機構”項，之后點擊完成按鈕，完成證書的導入操作。

之后，在域中每臺主機上分別執行“gpupdate /force”命令，來刷新組策略，或者執行重啟操作，讓其應用上述策略，獲得所需的CA根證書。運行“mmc”命令，在控制臺中點擊菜單“文件→添加/刪除管理單元”項，在左側選擇“證書”項，點擊“添加”按鈕，選擇“計算機賬戶”項，在控制臺左側選擇“受信任的根證書頒發機構→證書”項，可以看到導入的上述根CA證書。實際上，只要計算機信任了根CA證書頒發機構，該根CA下的所有子CA自然也在信任的范圍之內。

信任外網上的獨立根CA

對于Internet上的證書頒發機構來說，如果想讓內網中的主機信任根CA的話，就需要創建證書信任列表，之后利用企業信任策略將該列表中的所有根CA證書發送給內網中的所有主機。這樣，內外網中的所有主機就會自動對其產生信任。這里，以對名為“xxx.com Corporation Root CA”的獨立根CA為例進行說明，假設其使用的是Windows的活動目錄證書服務，按照上述方法，下載根CA證書，名稱為“xxxcorp.p7b”。

圖2 證書信任列表向導窗口

注意，因為證書信任列表必須經過簽名處理，為了便于操作，還需要一個進行簽名的證書。在域中登錄到在Windows Server 2012域控上，打開IE的Internet選項窗口，在“安全”面板中點擊“本地Intranet”項，在“該區域的安全級別”欄中拖動滑塊，將安全級別設置為“低”狀態。點擊“站點”按鈕，在彈出窗口中點擊高級按鈕，在“將該網站添加到區域”欄中輸入“http://xxx.xxx.xxx.xxx”，點擊添加按鈕，將其添加到網站列表中。

該“xxx.xxx.xxx.xxx”為某企業根CA主機的地址。例如，可以是本域或某個信任域中的企業根CA主機等。在IE中訪問“http://xxx.xxx.xxx.xxx/certsrv”， 在歡迎使用頁面中點擊“申請證書”鏈接，在申請一個證書頁面中點擊“高級證書申請”鏈接。在高級證書申請頁面中點擊“創建并向此CA提交一個申請”鏈接，在打開頁面中的“證書模板”列表中選擇“管理員”項，點擊是按鈕，在證書已頒發頁面中點擊“安裝此證書”鏈接，來安裝該證書。之后，在IE的Internet選項窗口的“安全”面板中的該區域的安全級別”欄中拖動滑塊，將安全級別設置為“中”狀態，恢復其默認設置。

在域控制器上打開組策略管理窗口，在左側選擇“組策略管理→林→域→具體的域名→Default Domain Policy”項，在右鍵菜單上點擊“編輯”項，在組策略編輯窗口左側選擇“計算機配置→策略→Windows設置→安全設置→公鑰策略→企業信任”項，在右鍵菜單上點擊“新建→證書信任列表項”，在向導界面（如圖2）中的證書信任列表窗口選擇“服務器身份驗證”項，點擊下一步，在CTL中的證書窗口底部點擊“從文件添加”按鈕，選擇上述“xxxcorp.p7b”證書文件。在下一步的簽名證書窗口中點擊“從存儲區選擇”按鈕，選擇上述申請到的用來對證書信息列表簽名的證書。依次點擊下一步按鈕，在名稱和描述窗口中輸入易于記憶的名稱，之后點擊完成按鈕，可以看到創建的企業信任策略。

之后，在域中每臺主機上分別執行“gpupdate /force”命令，來刷新組策略，或者執行重啟操作，讓其應用上述策略，獲得所需證書信任列表，使其自動信任外部的獨立根CA（例如“xxx.com Corporation Root CA”等）。注意，對于使用證書信任列表信任的CA證書來說，不會出現在受信任的根證書頒發機構中。