グループ ポリシーを使用して Windows デバイスに証明書を配布する

グループ ポリシーを使用して、Active Directory ドメインの信頼されたルートにチェーンされている証明書を Windows デバイスに配布できます。

開始する前に、次のことが必要です。

• 秘密キーと共にインストールされた証明書。 証明書をエクスポートする必要がある場合は、「証明書を秘密キーと共にエクスポートする」を参照してください。

• [グループ ポリシーの管理] スナップインがインストールされている Active Directory ドメイン コントローラー、またはドメイン コントローラーに接続できるリモート サーバー管理ツール (RSAT) がインストールされているデバイス。

• [Domain Admins] または [Enterprise Admins] ドメイン セキュリティ グループのメンバーであるアカウントを持つ Active Directory ドメイン。 適切なアカウントおよびグループ メンバーシップの使用方法の詳細については、「ローカルおよびドメインの既定のグループ」を参照してください。

1. ドメイン コントローラーで、または RSAT がインストールされているデバイスで、[グループ ポリシーの管理] スナップインを開始します。

2. 既存のグループ ポリシー オブジェクト (GPO) を見つけるか、証明書設定用に新しい GPO を作成します。 GPO が、適切なユーザー アカウントとコンピューター アカウントが存在するドメイン、サイト、または組織単位 (OU) に関連付けられていることを確認します。

3. GPO を右クリックし、[編集] を選択します。

4. コンソール ツリーで、[コンピューターの構成] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [公開キーのポリシー] を開き、その後、証明書をインポートするストア ([信頼されたルート証明機関] など) を右クリックし、[インポート] を選択します。

5. [証明書のインポート ウィザードの開始] 画面で [次へ] を選択します。

6. [インポートする証明書ファイル] で、適切な証明書ファイルへのパス (\\fs1\c$\fs1.cer など) を入力または参照し、[次へ] を選択します。

7. [秘密キーの保護] で、秘密キーのパスワードを入力し、[すべての拡張プロパティを含める] を選択した後、[次へ] を選択します。

8. [証明書ストア] で、[証明書をすべて次のストアに配置する] を選択し、証明書を保存する証明書ストアを参照して、[次へ] を選択します。

9. 概要を確認したら、[完了] を選択します。

10. 証明書をインポートしたら、ポリシーをデバイスに適用した後、デバイスを再起動して、設定を有効にします。