在“Default Domain Policy”的组策略编辑器中，依次展开计算机配置->策略->Windows设置->安全设置->公钥策略；

在“受信任的根证书颁发机构”单击右键，在弹出的菜单上选择所有任务->导入root证书； 在“受信任的中级证书办法机构” 单击右键，在弹出的菜单上选择所有任务->导入user证

书

选择iTrusCA的根证书root.cer文件。同时导入中级CA证书mid1.cer和mid2.cer；

十、配置组策略

出入安全方面的考虑，需要PC端在智能卡移除后，PC端的状态需要为锁定状态，所以我们要在域策略里面配置相应的智能卡移除策略。

计算机配置->策略->Windows设置->安全设置->本地策略->安全选项；

选择“交互式登录：智能卡移除操作”，如下图配置智能卡移除时锁定工作站操作；

为配合智能卡移除的策略生效，必须确保PC端的服务（smart card、smart card removal policy、user profile service）已经正常启动，但在windows 7（含）以上的操作系统默认该三个服务是不启动的，如果每台终端手动修改将大大增加工作量，所以我们需要配置相应的域策略使之在PC端启动

进入目录：计算机配置->策略->Windows设置->安全设置->本地策略->系统服务；