自定义证书信任列表的目的是什么?

您可以创build和部署证书信任列表,如下所述,但我试图了解这种优势,而不是通过组策略部署根和中间证书。 我为什么要\需要这样做?

企业证书信任列表(CTL)可以更精确地控制哪些证书types,以及这些证书可以信任的目的。 通过组策略简单地分发证书并不能控制你的客户端如何以及在什么情况下信任这些证书。

来自TechNet:

证书信任列表(CTL)使您能够控制对外部证书颁发机构(CA)颁发的证书的目的和有效期的信任。

通常,证书颁发机构可以为各种目的颁发证书,例如安全电子邮件或客户端身份validation。 但是,在某些情况下,您想要限制特定证书颁发机构颁发的证书的信任,特别是如果CA位于您的组织之外。 在这些情况下,创build一个CTL并通过组策略使用它可能是有用的。

例如,假设名为“我的CA”的证书颁发机构能够为服务器validation,客户端validation,代码签名和安全电子邮件颁发证书。 但是,您只需要信任由我的CA颁发的证书以用于客户端身份validation。 您可以创build一个CTL并限制您信任由我的CA颁发的证书的目的,以便它们仅对客户端身份validation有效。 任何由我的CA颁发的用于其他目的的证书都不被任何计算机或用户应用于应用CTL的组策略对象(GPO)范围内。

组织中可以有多个CTL。 由于特定域或组织单位的证书的使用和信任可能不同,因此可以创build单独的CTL来反映这些用途,并将特定的CTL分配给特定的GPO。

通过在组织中使用组策略,您可以select使用受信任的根证书颁发机构策略或企业信任策略(CTL)指定CA中的信任。 使用以下准则来确定要使用的策略:•如果您的组织具有自己的根CA并使用Active Directory,则不需要使用组策略机制来分发这些根证书。

•如果您的组织有自己的根CA没有安装在服务器上,则应使用受信任的根证书颁发机构策略来分发组织的根证书。 有关更多信息,请参阅受信任的根证书颁发机构策略。

•如果您的组织没有自己的CA,则使用企业信任策略创buildCTL,以build立组织对外部根CA的信任。 有关更多信息,请参阅使用企业信任策略。