验证客户端系统上的证书是否已手动存在:
使用以下命令运行
cmd 并执行对注册表的查询:
reg query HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2B8F1B57330DBBA2D07A6C51F70EE90DDAB9AD8E
reg query HKLM\SOFTWARE\Microsoft\SystemCertificates\root\Certificates\2B8F1B57330DBBA2D07A6C51F70EE90DDAB9AD8E
注意:在 Server 2016 上,通过组策略(通过策略)实施时,命令会GPO。 另一个 "策略" 文件夹会添加到字符串中,如下所示:
reg query HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\root\Certificates\2B8F1B57330DBBA2D07A6C51F70EE90DDAB9AD8E
如果您遇到此问题,您会看到以下结果:
或
证书可以位于
\Microsoft\SystemCertificates\root\Certificates\ 或
Microsoft\SystemCertificates\AuthRoot\Certificates\ 位置。您还可以从
CertManager 查看证书。只要证书在上述任何路径中都可用,就不会导致证书存储区出现问题。
使用 ePO 验证客户端系统上是否存在该证书:
为了验证在更大数量的 Windows 系统上是否存在 root 证书,我们创建了一个
EEDK 包。您可以通过 ePO 部署此包,以查找证书在系统信任存储中的存在状态。 然后,它会在 TA 的自定义属性中将结果报告回 ePO。默认自定义属性为自定义属性8。但是,您可以在创建部署任务时更改该属性的值。将包部署到一组系统后,您可以创建查询或根据结果过滤系统树。
要使用此包,请按照以下说明操作:
- EEDK从本文的 "附件" 部分下载包 CHCKCERT1100.zip 。
- 将包签入到您的 ePO 主存储库中 CHCKCERT1100.zip 。
- 创建产品部署任务并选择要部署的包 Check for Root Certificate 。要指定此包要报告到的自定义属性,您可以在客户端任务的命令行参数中添加一个数字 1-8。
- 将客户端任务分配给任何要验证其根证书存在的系统。
- 系统执行脚本后,会将两个结果之一报告回自定义属性8或您选择的自定义属性:
- OLD_CERT - 新证书在系统上 不 存在。
- NEW_CERT - 新证书存在 于系统上。