实现证书自动信任机制

利用证书，可以实现加密和认证机制，可以有力的保护网络安全。要想使用证书，用户必须向CA证书颁发机构进行申请，才可以得到并安装证书。但是，要想让证书发挥作用，用户的计算机必须信任CA证书颁发机构。

例如，在域环境中，对于企业根CA来说，域中的所有主机都可以自动信任该企业根CA。但是，如果采用独立根CA，并由非域管理员等权限较低的用户安装在成员服务器，就需要用户手工下载CA根证书，之后导入到本机中的受信任的根证书颁发机构列表中。当然，对于外网上的独立根CA来说，用户的计算机也不会自动信任其根CA。其实，使用组策略就可以轻松解决上述根证书的信任问题。

信任内网中的独立根CA

在一些公司内网中，独立CA是安装在成员服务器上的，而且安装者并不具备访问活动目录域服务的权限。在域中的某台主机上访问“http://xxx.xxx.xxx.xxx/certsrv”地址，其中的“xxx.xxx.xxx.xxx”为独立根CA的主机地址，在证书申请页面中点击“下载CA证书、证书链或CRL”链接，在下一步页面中点击“下载CA证书链”链接，会得到名为“certnew.p7b”的文件，其中包含证书和证书路径信息。如果点击“下载CA证书”链接，会得到名为“certnew.cer”的文件，这仅仅是一个证书而不包含证书存储路径信息。

图1 导入受信任的根证书颁发机构

如果该机已经存储有CA根证书，可以在IE的Internet选项窗口中打开“内容”面板，点击“证书”按钮，在证书窗口中的“受信任的很证书颁发机构”面板中找到目标CA根证书，点击导出按钮，在向导界面中选择“DER编码二进制X.509”或“Base64编码二进制X.509”项，将得到后缀为“.cer”的证书。选择“加密消息语法标准-PKCS #7证书”项，可以得到后缀为“.p7b”的证书文件。在下一步窗口中输入证书的名称，将其导出即可。

在域控制器上打开组策略管理窗口，在左侧选择“组策略管理→林→域→具体的域名→Default Domain Policy”项，在右键菜单上点击“编辑”项，可以编辑整个域的缺省策略。当然，也可以选择其中OU，来对其进行编辑。在组策略编辑窗口左侧，选择“计算机配置→策略→Windows设置→安全设置→公钥策略→受信任的根证书颁发机构”项，在右键菜单上点击“导入”项，在向导界面（如图1）中点击浏览按钮，选择上述后缀为“.p7b”的文件，在下一步的证书存储窗口中选择“将所有的证书放入下列存储”项，点击浏览按钮，选择“受信任的证书颁发机构”项，之后点击完成按钮，完成证书的导入操作。

之后，在域中每台主机上分别执行“gpupdate /force”命令，来刷新组策略，或者执行重启操作，让其应用上述策略，获得所需的CA根证书。运行“mmc”命令，在控制台中点击菜单“文件→添加/删除管理单元”项，在左侧选择“证书”项，点击“添加”按钮，选择“计算机账户”项，在控制台左侧选择“受信任的根证书颁发机构→证书”项，可以看到导入的上述根CA证书。实际上，只要计算机信任了根CA证书颁发机构，该根CA下的所有子CA自然也在信任的范围之内。

信任外网上的独立根CA

对于Internet上的证书颁发机构来说，如果想让内网中的主机信任根CA的话，就需要创建证书信任列表，之后利用企业信任策略将该列表中的所有根CA证书发送给内网中的所有主机。这样，内外网中的所有主机就会自动对其产生信任。这里，以对名为“xxx.com Corporation Root CA”的独立根CA为例进行说明，假设其使用的是Windows的活动目录证书服务，按照上述方法，下载根CA证书，名称为“xxxcorp.p7b”。

图2 证书信任列表向导窗口

注意，因为证书信任列表必须经过签名处理，为了便于操作，还需要一个进行签名的证书。在域中登录到在Windows Server 2012域控上，打开IE的Internet选项窗口，在“安全”面板中点击“本地Intranet”项，在“该区域的安全级别”栏中拖动滑块，将安全级别设置为“低”状态。点击“站点”按钮，在弹出窗口中点击高级按钮，在“将该网站添加到区域”栏中输入“http://xxx.xxx.xxx.xxx”，点击添加按钮，将其添加到网站列表中。

该“xxx.xxx.xxx.xxx”为某企业根CA主机的地址。例如，可以是本域或某个信任域中的企业根CA主机等。在IE中访问“http://xxx.xxx.xxx.xxx/certsrv”， 在欢迎使用页面中点击“申请证书”链接，在申请一个证书页面中点击“高级证书申请”链接。在高级证书申请页面中点击“创建并向此CA提交一个申请”链接，在打开页面中的“证书模板”列表中选择“管理员”项，点击是按钮，在证书已颁发页面中点击“安装此证书”链接，来安装该证书。之后，在IE的Internet选项窗口的“安全”面板中的该区域的安全级别”栏中拖动滑块，将安全级别设置为“中”状态，恢复其默认设置。

在域控制器上打开组策略管理窗口，在左侧选择“组策略管理→林→域→具体的域名→Default Domain Policy”项，在右键菜单上点击“编辑”项，在组策略编辑窗口左侧选择“计算机配置→策略→Windows设置→安全设置→公钥策略→企业信任”项，在右键菜单上点击“新建→证书信任列表项”，在向导界面（如图2）中的证书信任列表窗口选择“服务器身份验证”项，点击下一步，在CTL中的证书窗口底部点击“从文件添加”按钮，选择上述“xxxcorp.p7b”证书文件。在下一步的签名证书窗口中点击“从存储区选择”按钮，选择上述申请到的用来对证书信息列表签名的证书。依次点击下一步按钮，在名称和描述窗口中输入易于记忆的名称，之后点击完成按钮，可以看到创建的企业信任策略。

之后，在域中每台主机上分别执行“gpupdate /force”命令，来刷新组策略，或者执行重启操作，让其应用上述策略，获得所需证书信任列表，使其自动信任外部的独立根CA（例如“xxx.com Corporation Root CA”等）。注意，对于使用证书信任列表信任的CA证书来说，不会出现在受信任的根证书颁发机构中。