为 ConfigMgr 导出根 CA 证书的 2 种简单方法

导出根 CA 证书的方法有多种，我将向您展示两种导出 ConfigMgr 根证书颁发机构证书的简单方法。这些步骤适用于任何想要下载根 CA 证书的人，无论安装程序中是否安装了 ConfigMgr。

在您进一步阅读之前，我假设您已在设置中安装并配置了证书颁发机构。您可以使用我的指南来安装企业根证书颁发机构。有两种推荐的方法来导出根 CA 证书。您可以选择以下任意一种方式导出根CA证书。

• 使用命令提示符导出根 CA 证书。
• 从 Web 注册站点请求根证书颁发机构证书。

第一种方法似乎简单快捷，因为只需一个命令，您就可以导出根 CA 证书。第二种方法要求您访问根证书颁发机构 Web 注册站点并下载根证书。

在使用 ConfigMgr 时，有时您需要根 CA 证书。例如，当您设置 CMG 时，您在添加云管理网关角色时指定根证书。另一个示例是当您的 CMG 失败并出现错误 0x80004005 时。指定根 CA 证书并调整客户端证书吊销可以解决该问题。

为 ConfigMgr 部署 PKI 证书时，必须在 ConfigMgr 站点属性下指定根 CA 证书。我们大多数人都会忽略或错过这一步。这是重要的一步，您不应跳过此步骤。

使用命令提示符导出根 CA 证书

使用命令提示符，您可以请求并导出 ConfigMgr 的根 CA 证书。

• 使用管理员帐户登录根证书颁发机构服务器 (Windows Server)。
• 单击“开始”并键入 CMD 并以管理员身份运行命令提示符。
• 要导出根 CA 证书，请运行命令 certutil -ca.cert C:\RootCA_name.cer
• 查找CertUtil：-ca.cert 命令已成功完成。这确认根 CA 已成功导出。
• 转到根驱动器，您应该找到根证书。

从 Web 注册站点请求根证书颁发机构证书

第二种方法涉及从 Web 注册站点请求证书并下载根 CA 证书。您可以从成员服务器访问 URL，也可以登录证书颁发机构服务器并导出根 CA 证书。

打开浏览器（最好是 Edge 或 Firefox）并访问 Web 注册站点 URL，通常为 http://servername/certsrv。在默认页面上，您必须选择一个任务，其中包括以下选项。

• 索取证书
• 查看待处理证书请求的状态
• 下载 CA 证书、证书链或 CRL

单击下载 CA 证书。

在下一步中，单击下载 CA 证书并将根 CA 证书保存到所需位置。我们已成功导出根 CA 证书。

在受信任的根证书颁发机构下指定根 CA 证书

导出根 CA 证书后，您可以在“受信任的根证书颁发机构”下对其进行设置。

• 启动配置管理器控制台。
• 导航至管理\概述\站点配置\站点。
• 选择 ConfigMgr 站点并右键单击并单击属性。
• 在站点属性窗口中，单击通信安全选项卡。
• 查找受信任的根证书颁发机构选项，然后单击设置按钮。
• 选择根 CA 证书并应用该证书。当您执行此操作时，您将看到指定的根 CA。

导出 SCCM 根证书的视频教程

以下视频教程介绍了如何导出 SCCM 的根 CA 证书。