AD域认证配置集成数字证书(iTrusCA) 下载本文

在“Default Domain Policy”的组策略编辑器中,依次展开计算机配置->策略->Windows设置->安全设置->公钥策略;

在“受信任的根证书颁发机构”单击右键,在弹出的菜单上选择所有任务->导入root证书; 在“受信任的中级证书办法机构” 单击右键,在弹出的菜单上选择所有任务->导入user证

选择iTrusCA的根证书root.cer文件。同时导入中级CA证书mid1.cer和mid2.cer;

十、配置组策略

出入安全方面的考虑,需要PC端在智能卡移除后,PC端的状态需要为锁定状态,所以我们要在域策略里面配置相应的智能卡移除策略。

计算机配置->策略->Windows设置->安全设置->本地策略->安全选项;

选择“交互式登录:智能卡移除操作”,如下图配置智能卡移除时锁定工作站操作;

为配合智能卡移除的策略生效,必须确保PC端的服务(smart card、smart card removal policy、user profile service)已经正常启动,但在windows 7(含)以上的操作系统默认该三个服务是不启动的,如果每台终端手动修改将大大增加工作量,所以我们需要配置相应的域策略使之在PC端启动

进入目录:计算机配置->策略->Windows设置->安全设置->本地策略->系统服务;