描述

本文档将介绍使用GPO方法将签名证书部署到所有客户端计算机的步骤。必须将签名证书导入受信任的发布者和受信任的 根证书颁发机构 存储，才能信任第三方更新。允许来自Intranet的签名内容必须启用组策略管理中的Microsoft更新服务位置选项。这对于安装第三方补丁是必需的。

步骤

要使用GPO方法将签名证书部署到所有客户端计算机，请按照以下在域控制器系统上给出的步骤进行操作，

1. 要打开组策略管理控制台，请运行命令gpmc.msc
   
2. 选择所需的域，右键单击并选择“在此域中创建GPO并在此处链接”。
   
3. 指定GPO的名称。单击确定。
   
4. 右键单击GPO策略，然后选择“编辑”。
   
5. 导航到计算机配置> Windows设置>安全设置>公钥策略。
   
6. 右键单击“受信任的根证书颁发机构”，然后选择“导入”。
   
7. 将打开证书导入向导。点击下一步。
   
8. 指定保存证书的位置。 
   
9. 证书文件将保存在  <PatchConnectPlus目录> \ webapps \ ROOT \ server-data \ certificate \ signedCertificate.cer中。
   
10. 选择文件后，单击“下一步”。
    
11. 查看导入存储位置，然后单击“下一步”
    
12. 查看摘要并单击“下一步”。
    
13. Certficate已成功导入。单击确定。
    

    注意：  同样，请确保按照上面给出的步骤将签名证书导入Trusted Publishers证书存储区。

14. 导航到计算机配置>策略>管理模板> Windows组件> Windows Update。选择“允许从Intranet Microsoft更新服务位置签名的内容”，然后单击“编辑策略设置”。 
    
15. 选择Enabled，然后单击OK。
    
16. 关闭组策略编辑器。
17. 组策略将根据刷新间隔时间进行更新。要在客户端计算机中立即更新它，请打开命令提示符并运行命令gpupdate / force

您现在已使用SCCM成功将签名证书部署到所有客户端计算机。

关键字：   部署签名证书，受信任的发布者和根证书颁发机构存储。