Как отладить недостающий корень предприятия приблизительно сертификат?
Если Вы сделаете это, то пользователи не смогут сделать что-либо стоящее на той машине. Можно также просто отключить их логины.
Короче говоря, не делайте этого
Чего Вы действительно желаете достигнуть путем выполнения этого? Если Вы отправляете это, люди могут давать Вам более разумные решения.
Несколько вещей, которые необходимо проверить:
- Отключена ли на этом клиенте автоматическая регистрация сертификатов? Отсутствие автоматической регистрации объясняет отсутствие импорта.
- Является ли сертификат в хранилище доверенных корней, а не в корпоративном доверенном контейнере, из-за ручного импорта? Найдите в хранилище надежных корней учетную запись компьютера в
certmgr.msc. - Может быть, он был импортирован, а затем удален по какой-то причине? Если он думает, что он был импортирован, он больше не импортирует; очистите подключи в разделе
HKLM \ Software \ Microsoft \ Cryptography \ AutoEnrollment \ AEDirectoryCache, затем повторно запустите автоматическую регистрацию с помощьюcertutil -pulse.
«Я предпочитаю не использовать групповую политику для простого распространения ...»
Почему бы и нет? Это именно то, для чего был разработан GP - распространять общие настройки / конфигурацию на ПК домена. Просто импортируйте корневой сертификат в объект групповой политики в разделе Конфигурация компьютера> Политики> Параметры Windows> Параметры безопасности> Политики открытого ключа> Доверенные корневые центры сертификации