证书传播服务

• 适用于:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

CertPropSvc) (证书传播服务是一种 Windows 服务，当用户在连接到设备的读取器中插入智能卡时激活该服务。 该操作会导致从智能卡读取证书。 然后将证书添加到用户的个人存储区。 使用 组策略 控制证书传播服务操作。 有关详细信息，请参阅智能卡组策略和注册表设置。

注意

必须运行证书传播服务，才能运行智能卡 即插即用。

下图显示了证书传播服务的流。 当已登录用户插入智能卡时，操作开始。

1. 标记为 1 的箭头指示服务控制管理器 (SCM) 在用户登录时通知证书传播服务 (CertPropSvc) ，并且 CertPropSvc 开始监视用户会话中的智能卡
2. 标记为 R 的箭头表示远程会话和使用智能卡重定向的可能性
3. 标有 2 的箭头表示对读者的认证
4. 标记为 3 的箭头指示在客户端会话期间访问证书存储

1. 已登录用户插入智能卡
2. CertPropSvc 收到已插入智能卡的通知
3. CertPropSvc 从所有插入的智能卡读取所有证书。 证书将写入用户的个人证书存储区

注意

证书传播服务作为远程桌面服务依赖项启动。

证书传播服务的属性包括：

• CERT_STORE_ADD_REPLACE_EXISTING_INHERIT_PROPERTIES 将证书添加到用户的个人存储
• 如果证书具有 CERT_ENROLLMENT_PROP_ID) 定义的 wincrypt.h 属性 (，则会筛选空请求并将其置于当前用户的请求存储中，但不会将它们传播到用户的个人存储区
• 该服务不会将任何计算机证书传播到用户的个人存储，也不会将用户证书传播到计算机存储
• 该服务根据设置组策略选项传播证书，其中可能包括：
  • 从智能卡启用证书传播指定是否应传播用户的证书
  • 从智能卡启用根证书传播指定是否应传播根证书
  • 配置根证书清理 指定如何删除根证书

根证书传播服务

在尚未建立公钥基础结构 (PKI) 信任时，根证书传播负责以下智能卡部署方案：

• 加入域
• 远程访问网络

在这两种情况下，计算机未加入域，因此信任不是由组策略管理的。 但是，目标是向远程服务器（例如域控制器）进行身份验证。 通过根证书传播，可以使用智能卡来包括缺少的信任链。

插入智能卡时，证书传播服务会将卡上的任何根证书传播到受信任的智能卡根计算机证书存储。 此过程与企业资源建立信任关系。 当从读取器中删除用户的智能卡或用户注销时，还可以使用后续清理操作。这可通过组策略进行配置。 有关详细信息，请参阅智能卡组策略和注册表设置。

有关根证书要求的详细信息，请参阅用于域登录的智能卡根证书要求。

另请参阅

Windows 中智能卡登录的工作原理