憑證傳播服務

• 適用於:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

CertPropSvc) (憑證傳播服務是一項 Windows 服務，會在使用者將智慧卡插入連結至裝置的讀取器時啟動。 此動作會導致從智慧卡讀取憑證。 憑證接著會新增至使用者的個人存放區。 憑證傳播服務動作是使用 群組原則 來控制。 如需詳細資訊，請參閱智慧卡 群組原則 和登錄設定。

注意

憑證傳播服務必須執行，智慧卡 隨插即用 才能運作。

下圖顯示憑證傳播服務的流程。 當登入的使用者插入智慧卡時，動作就會開始。

1. 標示 為 1 的箭號表示當使用者登入時，服務控制管理員 (SCM) 會通知憑證傳播服務 (CertPropSvc) ，而 CertPropSvc 會開始監視用戶會話中的智慧卡
2. 標示 為 R 的箭號代表遠端會話和智慧卡重新導向的使用可能性
3. 標示 為2 的箭號表示對讀者的認證
4. 標示 為 3 的箭號表示在用戶端工作階段期間存取證書存儲

1. 登入的使用者插入智慧卡
2. CertPropSvc 收到插入智慧卡的通知
3. CertPropSvc 會從所有插入的智慧卡讀取所有憑證。 憑證會寫入使用者的個人證書存儲

注意

憑證傳播服務會以遠端桌面服務相依性啟動。

憑證傳播服務的屬性包括：

• CERT_STORE_ADD_REPLACE_EXISTING_INHERIT_PROPERTIES 將憑證新增至使用者的個人存放區
• 如果憑證具有 CERT_ENROLLMENT_PROP_ID) 所 wincrypt.h 定義的屬性 (，它會篩選空的要求，並將它們放在目前使用者的要求存放區中，但不會將它們傳播到使用者的個人存放區
• 服務不會將任何計算機憑證傳播至使用者的個人存放區，也不會將用戶憑證傳播至計算機存放區
• 服務會根據已設定的 群組原則 選項來傳播憑證，其中可能包括：
  • 從智慧卡開啟憑證傳播 指定是否應該傳播用戶的憑證
  • 從智慧卡開啟跟證書傳播 指定是否應該傳播跟證書
  • 設定跟證書清除 會指定如何移除跟證書

跟證書傳播服務

尚未建立公鑰基礎結構 (PKI) 信任時，跟證書傳播會負責下列智慧卡部署案例：

• 加入網域
• 從遠端訪問網路

在這兩種情況下，計算機不會加入網域，因此，信任不會由組策略管理。 不過，目標是向遠端伺服器進行驗證，例如域控制器。 跟證書傳播可讓您使用智慧卡來包含遺漏的信任鏈結。

插入智慧卡時，憑證傳播服務會將卡片上的任何跟證書傳播到受信任的智慧卡根計算機證書存儲。 此程式會建立與企業資源的信任關係。 當使用者的智慧卡從讀取器中移除，或使用者註銷時，您也可以使用後續的清除動作。這可透過組策略進行設定。 如需詳細資訊，請參閱智慧卡 群組原則 和登錄設定。

如需跟證書需求的詳細資訊，請參閱 搭配網域登入使用的智慧卡跟證書需求。

請參閱

智慧卡登入在 Windows 中的運作方式