切换到NTAuthCertificates面板，点击Add按钮；找到iTrusCA的根CA文件root.cer，选择打开。这样，iTrusCA的根CA就被导入到NTAuth store中去了。

因为iTrusCA签发的用户证书是四级证书链结构，所以我们要同时添加iTrusCA的中级CA文件mid1.cer和mid2.cer，将iTrusCA的中级CA也导入到NTAuth store中去。

方法二：使用Certutil.exe命令导入证书。

Certuil命令支持两种证书格式，DER encoded binary X.509 (.cer)和Base-64 encoded X.509 (.cer)，在命令行下输入：

certutil -dspublish -f filename NTAuthCA

然后回车。

九、分发根证书到所有域成员

在域控制器上执行

开始->所有程序->管理工具->组策略管理

在左边的树形目录上，右键单击“default Domain policy”，在弹出的菜单上选择“编辑”