信頼できるルート認証局証明書をGPO

GPOを作成し、証明書をコンピューターの構成\ Windowsの設定\セキュリティの設定\公開キーのポリシー\信頼されたルート証明機関にインポートして、GPOをユーザーのグループに割り当てます

「コンピューターの構成」ポリシーツリーを使用している場合は、コンピューターアカウントが格納されているOUにリンクする必要があります。

証明書をユーザーの証明書ストアにインストールする必要がある場合は、certutil mioghtが役立ちます。 certutilに関するMicrosoftのドキュメント 。使用する certutil -installcert <certfile>（ユーザーとして実行できると思います）またはcertutil -addstore -user root <cert file>ログインスクリプト内。注、私はこれらをテストしていません。コマンドはヘルプから直接ですcertutil -v -?。

slmは近かったが、「Allow user trusted root CAs to be used to validate certificates "と"Allow users to trust peer trust certificates option in the Per User Certificate Stores "ボックスをチェックします。

1. GPO証明書のデプロイを編集します
2. グループポリシー管理エディターで、[コンピューターの構成]> [Windowsの設定]> [公開キーのポリシー]>右ペインの[証明書パス検証設定]をダブルクリックします。
3. [ストア]タブで、[これらのポリシー設定を定義する]チェックボックスをオンにします。 [ユーザーごとの証明書ストア]で、[ユーザーの信頼されたルートCAが証明書の検証に使用できるようにする]と[ユーザーごとの証明書ストアを許可する]チェックボックスをオンにします。

gpupdate/force PC上で、証明書が展開されます。また、GPO= PCが属するOUにリンクすることも忘れないでください。

しばらく前に同様の問題がありました。私が正しく覚えていれば、これは私たちを助けました：

1. [コンピューターの構成]> [Windowsの設定]> [公開キーのポリシー]> [証明書パス検証の設定]をダブルクリックし、[ストア]タブをクリックします。

2. [これらのポリシー設定を定義する]チェックボックスをオンにします。

3. [ユーザーごとの証明書ストア]で、[ユーザーごとの証明書ストア]チェックボックスの[ユーザーの信頼されたルートCAが証明書の検証に使用できるようにする]および[ユーザーがピアの信頼証明書を信頼できるようにする]オプションをオフにします。

4. 次に、gpupdate/forceを使用します。

これで問題が解決することを願っています。

その場合、証明書を発行するために中間CAも展開してみませんか？スタンドアロンCAがドメインコントローラーに接続できる場合、それは自身の証明書を適切なADコンテナーに公開します。これがデフォルトの動作です。自動登録がトリガーされると、コンピューターは証明書を要求できます。最善の方法は、エンタープライズルートと発行CAを使用することです。スタンドアロンCAには、登録と展開に関して制限があります。設定は here にあります。幸運を！