企业内网 CA 如何被所有域外电脑信任？GPO 分发根证书教程

用户要让企业内网CA签发的SSL证书被所有电脑信任，核心是将企业CA的根证书部署到每台电脑的“受信任的根证书颁发机构”存储区。对于加入域的电脑，可以通过组策略（GPO）  自动分发，一步到位。对于未加域的电脑（域外电脑），则需要手动安装或借助其他自动化工具。下面是具体教程：

第一部分：为域内电脑自动分发（GPO方式）

如果你希望内网CA能够被所有已加入域的电脑信任，使用GPO是最标准、最高效的方法。域控制器会自动将根证书“推送”给所有域成员。

准备工作

1.    获取根证书文件：首先，你需要从你的企业CA（证书颁发机构）导出根证书。通常文件格式为  `.cer`  或  `.crt`。

2.    管理员权限：你需要拥有域管理员权限来编辑组策略。

3.    管理工具：在域控制器上，确保已安装“组策略管理”控制台。

具体操作步骤

1.    打开组策略管理：在域控制器上，按  `Win  +  R`，输入  `gpmc.msc`，然后回车。

2.    创建或选择GPO：

              在控制台树中，展开你的林和域（例如  `contoso.com`）。

              右键点击你的域（或你想应用规则的特定组织单位OU），选择“在这个域中创建GPO并在此处链接”。

              为此策略命名，例如  “部署企业根证书”，然后点击确定。

3.    编辑GPO：

              右键点击你刚刚创建的GPO，选择“编辑”。

4.    导航至证书导入路径：

              在组策略管理编辑器中，依次展开：计算机配置  >  策略  >  Windows  设置  >  安全设置  >  公钥策略  >  受信任的根证书颁发机构。

              注意：如果是中间CA证书，则应导入到“中间证书颁发机构”路径下。

5.    导入根证书：

              右键点击“受信任的根证书颁发机构”，选择“导入”。

              此时会启动证书导入向导。点击“下一步”。

              点击“浏览”，找到你事先准备好的企业根证书文件（`.cer`），选中并打开。

              点击“下一步”，一直点击直到完成。

6.    等待客户端更新：

              关闭组策略编辑器。

              在客户端电脑上，策略会在后台自动刷新（默认90-120分钟）。若想立即生效，可在客户端以管理员身份打开CMD，运行命令  `gpupdate  /force`。

              刷新后，在该客户端电脑上运行  `certlm.msc`（本地计算机证书管理），展开“受信任的根证书颁发机构”->“证书”，即可看到你推送的企业根证书。

第二部分：为域外电脑手动部署

对于未加入域的电脑（如合作伙伴的电脑、个人家用电脑、手机或Mac），GPO无法覆盖它们。你需要手动安装，或通过公司门户网站提供下载引导用户安装。

场景一：手动安装到Windows电脑

对于简单的环境或少量电脑，可以直接操作：

1.    双击安装：直接双击根证书文件（.cer），点击“安装证书”。

2.    选择存储位置：

              在向导中，选择“本地计算机”（如果希望这台电脑的所有用户都信任该CA），或“当前用户”（仅当前登录用户信任）。

              注意：若选“本地计算机”，需要管理员权限。

3.    指定存储区：

              选择“将所有的证书放入下列存储”，点击“浏览”。

              在弹出的列表中选择“受信任的根证书颁发机构”，点击确定。

4.    完成：点击“下一步”并完成导入。

场景二：批量/静默安装（适合给域外电脑远程维护）

如果你需要处理大量域外电脑，可以使用命令行工具  `certutil.exe`，通过脚本或远程工具分发。

命令语法：

        cmd

        certutil  -addstore  "Root"  "\\网络路径\你的根证书.cer"

操作说明：以管理员身份运行CMD，执行上述命令。这会将证书直接添加到本地计算机的根存储中。

场景三：其他操作系统（Mac  /  Linux  /  移动端）

要让这些设备信任你的内网CA，通常需要将根证书文件发送给用户，指导他们手动安装并启用完全信任：

macOS：双击  `.crt`  文件打开“钥匙串访问”，选择导入到“系统”钥匙串，然后在证书列表中找到它，双击打开信任策略，将“使用此证书时”设置为“始终信任”。

iOS/iPadOS：通过邮件或网站下载描述文件，在“设置”中安装，然后手动开启对根证书的完全信任（“设置”->“通用”->“关于本机”->“证书信任设置”中开启）。

Android：通常位于“设置”->“安全”->“加密与凭据”->“安装证书”->“CA证书”。

目标电脑类型            部署方式          操作要点        管理成本  

已加入域            组策略（GPO）          在域控上配置“公钥策略”导入根证书      低（自动推送）  

未加域  Windows          手动或脚本      双击证书安装或使用  `certutil  -addstore  Root`      中到高  

macOS  /  Linux              手动      导入至系统钥匙串并设置信任；Linux需复制到  `/etc/ssl/certs`        高  

总结

要让企业内网CA被信任，技术核心就是安装根证书。通过GPO自动分发是解决域内电脑最省力的方法；对于域外电脑，通常需要结合手动安装指南或自动化运维脚本来解决。请务必注意，根证书是信任的基石，分发过程中需确保文件未被篡改。