使用群組原則管理PKI

w-studio.idv.tw

在群組原則中, 針對 PKI管理有以下幾個與憑證管理相關的重要選項, 這些設定可提升憑證的部署、管理及驗證效率:

1. 憑證漫遊(Credential Roaming)

。憑證漫遊允許使用者的憑證及私密金鑰在多部電腦間隨著使用者漫遊設定檔一同漫遊

。當使用者登入不同的電腦時, 其個人憑證與私密金鑰會自動下載到該設備

2. 憑證自動註冊(Autoenrollment of Certificates)

。允許系統自動完成憑證的註冊、續期與更新, 使用者無需手動操作

。可用於電腦憑證與使用者憑證的自動管理

。自動處理包括憑證更新通知、安裝、憑證刪除等

3. 憑證路徑驗證(Certificate Path Validation)

。用於設定憑證鏈(Certificate Chain)與路徑驗證的行為, 包括信任錨點與撤銷檢查原則

。包括:

--信任的根憑證設定

--憑證撤銷清單(CRL)檢查選項

--適用於從屬CA的憑證鏈驗證

4. 憑證發佈(Certificate Distribution)

。將特定的根憑證或中繼憑證部署到用戶端, 確保用戶端系統能信任內部或外部 CA發行的憑證

。可透過群組原則將憑證加入:

--受信任的根憑證授權單位

--中繼憑證授權單位

--企業信任憑證存放區等