如何使用GPO在计算机上部署SSL证书？

让我们看看如何在域计算机上集中部署 SSL 证书，并使用组策略将其添加到受信任的根证书颁发机构。部署证书后，所有客户端设备都将信任由该证书签名的服务。在我们的示例中，我们将把自签名 SSL Exchange 证书（未安装域中的 Active Directory 证书服务角色）部署到 AD 中的用户计算机。

如果您对 Exchange 服务器使用自签名 SSL 证书，则在首次启动 Outlook 期间，客户端计算机上将显示以下消息：此证书不受信任，使用它不安全。

要删除此警告，您必须将 Exchange 证书添加到用户计算机上的受信任证书列表中。这可以手动完成（或通过将证书集成到企业操作系统映像中），但使用 GPO 自动安装证书更容易、更有效。当使用这样的证书分发方案时，所有必需的证书将自动安装在所有新旧域计算机上。

首先，您必须从 Exchange 服务器导出自签名证书。为此，请登录到您的服务器，运行 mmc.exe 并添加证书（对于本地计算机）管理单元。

转到证书（本地计算机）-> 受信任的根证书颁发机构 -> 证书部分。

在右侧窗格中找到您的 Exchange 证书，右键单击它并选择全部 任务-> 导出。

在导出向导中，选择DER 编码的二进制 X.509 (.CER) 格式并指定证书文件的路径。

您还可以直接从浏览器导出 SSL 证书。在 Internet Explorer 中，使用不受信任的证书打开 Web 服务器的 HTTPS 地址（对于 Exchange，这通常是 https://exchange_cas/owa 形式的地址）。单击地址栏中的证书错误图标，单击查看证书，然后转到详细信息选项卡。单击复制到文件按钮打开“证书导出到 CER 文件”向导。

您还可以使用 WebRequest 方法从 PowerShell 获取 HTTPS 站点的 SSL 证书并将其保存在 CER 文件中：

$webRequest = [Net.WebRequest]::Create("https://exchange_cas/owa")
try { $webRequest.GetResponse() } catch {}
$getcert = $webRequest.ServicePoint.Certificate
$bytes = $getcert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "c:\ps\your_exchange_cert.cer"

您已将 Exchange 证书导出到 CER 文件中。您需要将证书文件放置到共享网络文件夹中，并且所有用户都必须对其具有读取权限（如有必要，可以使用 NTFS 权限限制访问权限，或者可以使用 ABE 隐藏该文件夹）。例如，让证书文件的路径如下：\lon-fs01\GroupPolicy$\Certificates.

让我们开始创建新的证书部署策略。为此，请启动组策略管理控制台 (gpmc.msc)。通过选择 OU 创建新策略（在我们的示例中，它是包含计算机的 OU，因为我们不希望将证书安装在服务器和技术系统上），然后在上下文菜单中选择在此域中创建 GPO 并在此处链接...

指定策略名称（Install-Exchange-Certificate）并切换到策略编辑模式。

在 GPO 编辑器中，转到“计算机配置”->“策略”->“Windows 设置”->“安全设置”->“公钥策略”->“受信任的根证书颁发机构”部分。

右键单击 GPO 编辑器窗口的右侧部分，然后选择导入。

指定导入的证书文件的路径，该文件已放置在共享文件夹中。

在向导的相应步骤中（将所有证书放入以下存储中），请指定必须将其放入受信任 根 证书 颁发机构中。

创建的证书分发策略。您可以使用安全筛选或 WMI GPO 筛选更准确地将此策略定位到客户端。

让我们通过运行来测试组策略设置

gpupdate /force

在客户端上。验证您的证书是否已出现在受信任证书列表中。可以在“管理证书”管理单元（受信任的根证书颁发机构 -> 证书）或 Internet Explorer 设置（Internet 选项 -> 内容 -> 证书 -> 受信任的根证书颁发机构）中完成此操作。

现在，在 Outlook 配置期间，不会出现不受信任证书的警告。

您可以检查一下，当您打开 HTTPS 站点（在我们的示例中为 Exchange OWA）时，浏览器中将不再出现有关不受信任的 SSL 证书的警告。现在，当您配置 Outlook 连接 Exchange 服务器时（只能通过注册表手动配置 Outlook 2016 中的 Exchange 服务器），将不会出现不可信证书的警告。

如果您只想将证书部署策略应用于特定 AD 安全组中的计算机（或用户），请在组策略管理控制台中选择 Install-Exchange-Cert 策略。在安全过滤部分的范围选项卡上，删除经过身份验证的用户组并添加您的安全组名称（例如，AllowAutoDeployExchCert）。如果您将此策略链接到域根，您的证书将自动安装在添加到安全组的计算机上。

同一 GPO 允许您同时在多台计算机上安装 SSL 证书。有关您的策略部署的证书的详细信息，请检查 GPMC 控制台中的策略设置。如您所见，显示了颁发给、颁发者、到期日期和预期用途证书属性。

如果计算机无法直接访问 Internet，您可以通过这种方式更新域中所有设备上的受信任根证书。但有一种更简单、更正确的方法来更新隔离域中的根证书和吊销证书。

因此，您在所有域计算机（在特定组织单位或域安全组上）上有一定的自动证书分发策略。该证书将自动安装在所有新计算机上，无需技术支持团队进行任何手动操作。出于安全原因，建议定期扫描 Windows 证书根存储以查找可疑和已吊销的证书。