本文为使用 GPO 分发的有效根 CA 证书显示为不受信任的问题提供了解决方法。

适用于：Windows 10 - 所有版本，Windows Server 2012 R2 原始 KB 编号： 4560600

重要

不受信任的根证书颁发机构 (CA) 证书问题可能是由大量 PKI 配置问题引起的。 本文仅说明不受信任的根 CA 证书的可能原因之一。

使用证书和公钥基础结构 (PKI) 的各种应用程序可能会遇到间歇性问题，例如连接错误，每天/每周一两次。 这些问题是由于最终实体证书验证失败而出现的。 受影响的应用程序可能会返回不同的连接错误，但它们都会有常见的不受信任的根证书错误。 下面是此类错误的示例：

使用 CryptoAPI 系统体系 结构的任何启用 PKI 的应用程序都可能因间歇性失去连接或 PKI/证书相关功能失败而受到影响。 自 2020 年 4 月起，已知受此问题影响的应用程序列表包括，但不一定限于：

管理员可以通过检查 CAPI2 日志来识别和排查不受信任的根 CA 证书问题。

将故障排除工作重点放在包含以下签名的 CAPI2 日志中的 生成链/验证链 策略错误上。 例如：

DateTime CAPI2 11 生成链错误 DateTime CAPI2 30 验证链策略错误

结果证书链已处理，但在不受信任提供程序信任的根证书中终止。 [value] 800b0109

如果使用以下 组策略 (GP) 分发根 CA 证书，则可能会出现不受信任的根 CA 证书问题：

计算机配置>Windows 设置>安全设置>公钥策略>受信任的根证书颁发机构

使用 GPO 分发根 CA 证书时，将删除并再次写入其内容 HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates 。 此删除是按设计方式进行的，因为 GP 应用注册表的更改方式。

为根 CA 证书保留的 Windows 注册表区域中的更改将通知客户端应用程序的 Crypto API 组件 。 应用程序将开始与注册表更改同步。 同步是使应用程序保持最新状态并了解有效根 CA 证书的最新列表。

在某些情况下，组策略处理需要更长时间。 例如，许多根 CA 证书是通过 GPO 分发的， (与许多 防火墙 或 Applocker 策略) 类似。 在这些情况下，应用程序可能不会收到受信任的根 CA 证书的完整列表。

因此，链接到缺少根 CA 证书的最终实体证书将呈现为不受信任。 各种与证书相关的问题将开始发生。 此问题是间歇性的，可以通过重新启动 GPO 处理或重新启动来暂时解决。

如果根 CA 证书是使用替代方法发布的，则由于上述情况，问题可能不会发生。

Microsoft 已意识到此问题，并正在努力改进 Windows 未来版本中的证书和加密 API 体验。

若要解决此问题，请避免使用 GPO 分发根 CA 证书。 它可能包括针对注册表位置 (，例如 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates) 将根 CA 证书传递给客户端。

将根 CA 证书存储在其他物理的根 CA 证书存储中时，应解决此问题。

方法 1： 使用命令行工具 certutil 并根存储在文件 rootca.cer 中的 CA 证书：

注意

此命令只能由本地管理员执行，并且只会影响单个计算机。

方法 2： 启动 certlm.msc (本地计算机) 的证书管理控制台，并在 注册表 物理存储中导入根 CA 证书。

注意

certlm.msc 控制台只能由本地管理员启动。 此外，导入将仅影响单台计算机。

方法 3：使用 GPO 首选项发布根 CA 证书，如组策略首选项中所述

若要发布根 CA 证书，请执行以下步骤：

使用 certutil -addstore root c:\tmp\rootca.cer 命令手动导入计算机上的根证书 (请参阅方法 1) 。

在已导入根证书的计算机上打开 GPMC.msc。

以以下方式编辑要用于部署注册表设置的 GPO：

将新的 GPO 部署到需要发布根证书的计算机。

通过将根 CA 证书写入位置 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates 来分发根 CA 证书的任何其他方法、工具或客户端管理解决方案都将有效。