证书相关的组策略设置

    先前版本的视窗作业系统，厂商已设定为执行这种控制权证书验证。证书相关的组策略设置可以在组策略对象编辑器中找到，在计算机配置\窗户设置\安全设置\公共密钥政策内容下。以下选择，可根据管理的需要设定性能表：

    •存储
    •值得信赖的出版商
    •网络检索
    •撤销

    此外，四个新的政策已被列入下公开密钥的政策，适用于不同类型的客户：

    •中间核证机关
    •值得信赖的出版商
    •来路不明证书
    •值得信赖的人

    在Windows Server 2003种已经包含了这些这些新政策，以及Enterprise Trust和Trusted Root Certification Authorities。这些政策可以用来完成以下任务：

    •管理同行的信任和信赖的根证书
    •管理可信出版商
    •阻断不符政策要求的注册需求
    •管理检索证书的相关数据
    •管理到期证书撤消列表和在线证书状态协议（OCSP）的反应
    •部署授权

管理同行的信任和信赖的根证书

    利用路径验证设置对话框中的统计表，管理员可调节亲信根证书和同行的信任证书。这种控制的实施，使用户不得作出与同行不同的决定，或者它可以用来控制有多少或如何用特定证书，例如签名和加密，来管理同伴的信任。

    统计表也使管理员能够指定域内的特定用户只是公司根CA可以信任的，或者是企业和非微软用户都可以信任的。另一方面，如果管理员需要在域内分发挑选可信任根证书，他们可以把它们拷贝到可信任的根证书，下次登陆时，系统会自动更新。
由于各种证书越来越多，而且作出是否承认或不承认这些证书的决定的越来越重要，有些组织可能希望管理证书信任和防止用户在域内配置自己的一套可信赖的根证书。

管理信任的发行者和阻止不受欢迎证书

    在证书验证设置对话框中选择该项，可以使管理员确定哪些证书可以被当作可信任的出版商而接纳。全组织的亲信出版者的相信名单，使组织可以自行决定authenticode ®证书是否可以由用户和系统管理员来管理，或者只有系统管理员，或者只是企业经营管理人员。

    管理员可以通过把组织的名字加入来路不明的注册申请的库中以阻止某些申请。正如网络管理员防止病毒和其他恶意软件进入它们的环境中一样，系统管理员在未来可能要封锁某个证书。组织自己的CA签发的证书是可以被撤销的，它还会被添加到证书撤销列表。然而组织外部所发出的证书不能被撤销，然而，这些来路不明的证书可以通过加入不被信任的证书申请的库中以加以禁止。下一次组策略是更新时，这些证书将被当作来路不明的证书复制到域内每个客户的计算机上。

证书部署变化

    用户和计算机证书，可以通过自动报名，证书请求向导，网上报名等一些机制来部署。调派大量的电脑的证书有挑战性。在windows server 2003，可使用组策略核准机关证书和企业的信任证书。

    在windows server 2008 ，以下所有类型的证书可以分别放置在组策略中适当的证书储存组：

    •值得信赖的根系CA证书
    •企业信用证书
    •中间CA证书
    •值得信赖的出版商证明书
    •来路不明证书
    •可信任的人（同行信托证书）

    这为管理员提供了一种有效的手段来为组织内的用户和计算机在分发日益增长的各种证书。

在线证书状态协议支持

    证书撤销是管理核发证书的一个必经的部分，。最常见的证书沟通手段，是由分发证书撤销列表（证书撤消列表） 。在某些情况下，使用常规证书撤消列表不是一个非常好的的解决方案，Windows Server 2008支持的在线证书状态协议（OCSP）可用于管理和分发撤销状态信息。