您可以建立並部署憑證信任列表,詳細信息這裡,但我試圖了解這比僅以正常方式使用群組原則部署根憑證和中間憑證的優勢。為什麼我想要\需要這樣做?
答案1
企業憑證信任清單 (CTL) 可讓您更精細地控制哪些類型的憑證以及可以信任這些憑證的用途。僅透過群組原則分發憑證並不能讓您很好地控制用戶端如何以及在什麼情況下信任這些憑證。
憑證信任清單 (CTL) 可讓您控制對外部憑證授權單位 (CA) 所頒發的憑證的用途和有效期限的信任。
通常,證書頒發機構可以出於多種目的頒發證書,例如安全電子郵件或用戶端身份驗證。但在某些情況下,您可能希望限制對特定憑證授權單位所發出的憑證的信任,尤其是當 CA 位於您的組織外部時。在這些情況下,建立 CTL 並透過群組原則使用它可能會很有用。
例如,假設名為「My CA」的憑證授權單位能夠頒發用於伺服器驗證、用戶端身分驗證、程式碼簽署和安全電子郵件的憑證。但是,您只想信任 My CA 頒發的憑證以進行用戶端身份驗證。您可以建立 CTL 並限制您信任「我的 CA」所頒發的憑證的用途,以便它們僅對客戶端身份驗證有效。套用 CTL 的群組原則物件 (GPO) 範圍內的任何電腦或使用者均不接受由「我的 CA」為其他目的所頒發的任何憑證。
一個組織中可以有多個 CTL。由於特定網域或組織單位的憑證的用途和信任可能不同,因此您可以建立單獨的 CTL 來反映這些用途,並將特定的 CTL 指派給特定的 GPO。
透過在組織中使用群組策略,您可以選擇使用受信任的根憑證授權單位策略或企業信任策略 (CTL) 指定對 CA 的信任。請遵循下列準則來決定要使用的策略: • 如果您的組織擁有自己的根 CA 並使用 Active Directory,則無需使用群組原則機制來散佈這些根憑證。
• 如果您的組織有自己的根CA,但未安裝在伺服器上,則您應該使用受信任的根憑證授權單位策略來散佈組織的根憑證。有關詳細信息,請參閱受信任的根證書頒發機構策略。
• 如果您的組織沒有自己的CA,請使用企業信任策略建立CTL,以建立您的組織對外部根CA 的信任。有關詳細信息,請參閱使用企業信任策略。