SSL证书分发功能需要安装根证书，可勾选<要求安装根证书>功能，对于未安装根证书的终端，将会重定向到证书安装页面，安装后用户才能正常上网。

（1）某单位的电脑是已经加入域控，然后通过域控组策略下发安装根证书。

（2）没有加入域控的电脑，推荐使用设备的[行为管理/高级选项/SSL证书分发]功能。

SSL证书实现原理：

• 每个终端上存在标记，是否需要检查根证书，是否已经通过检查。

• 如果需要检查且未通过检查，则会重定向到 。

• http://x.x.x.x/httpscert/https.htm?vlanid=xxx&url=xxxxxx&signver=xxxx,进行根证书检查，通过判断能否加载出checkcert.js判断是否安装了根证书。

• 如果通过检查则会发http://x.x.x.x/httpscert/handler，跳回本来访问的页面，比如百度。

• 如果检查不通过则会发http://x.x.x.x/httpscert/handler_failed，然后访问http://x.x.x.x/httpscert/index.html根证书下载页面。

• 如果切换根证书，则会把新的根证书md5下发，然后用户有流量过来的时候，就会把全局的根证书md5与用户本来的根证书md5做比较，如果不一样则会把通过检查的终端进行标记，重新进行SSL证书分发。

• 手动安装证书方式在PC端下载安装文件后，双击安装即可。

主备、多机情况下，所有根证书都同步。

BBC策略模板内置的根证书不会自动下发给各个分支AC的内置根证书，如需要下发需要手动导入。

只支持一级CA的根证书导入，不支持非一级CA证书及证书链功能。

 认证策略为密码认证，终端访问任何域名都会先跳转到web认证界面，对于从未安装过设备根证书的浏览器，第一次认证通过后会跳转到证书安装界面，不会跳转到“认证跳转后”设置的页面；第二次认证时时如果已安装证书才会跳转到“认证跳转后”设置页面。

如果认证策略设置的是不需要认证或单点登录，此时终端上网可能并没有打开过网页就通过了设备认证，AC无法通过网页的重定向检查页面得知终端是否有安装过设备证书从而无法给终端推送证书安装页面、给终端用户打上终端证书检查通过的标记或放行标记；此时建议终端打开“安装SSL识别根证书”适用域名所填写的网页列表，通常打开常用的网页就能命中。

 认证策略是不需要认证或单点登录时，为了提高终端用户打开网页重定向到根证书安装或检查页面的成功率也可以勾选“对80端口的HTTP请求强制重定向到证书安装页面”，但是如果终端用户上网时没有打开网页，此时如果终端后台程序有使用80端口通信那么一些应用会受到影响，所以最好建议每次上网前要打开一次网页。