グループ ポリシーを使用してクライアント コンピューターに証明書を配布する

次の手順で、アカウント フェデレーション サーバー、リソース フェデレーション サーバー、Web サーバーの適切な Secure Sockets Layer (SSL) 証明書 (または信頼されたルートにチェーンする同等の証明書) を、グループ ポリシーを使用してアカウント パートナー フォレスト内の各クライアント コンピューターにプッシュダウンできます。

この手順を実行するには、Active Directory Domain Services (AD DS) の Domain Admins または Enterprise Admins、またはそれと同等のメンバーシップが最低限必要です。 適切なアカウントおよびグループ メンバーシップの使用について詳しくは、「ローカルおよびドメインの既定のグループ(http://go.microsoft.com/fwlink/?LinkId=83477).」を参照してください

1. アカウント パートナー組織のフォレスト内のドメイン コントローラーで、グループ ポリシー管理スナップインを開始します。

2. 既存のグループ ポリシー オブジェクト (GPO) を検索するか、証明書設定を含む新しい GPO を作成します。 GPO が、適切なユーザー アカウントとコンピューター アカウントが存在するドメイン、サイト、または組織単位 (OU) に関連付けられていることを確認します。

3. GPO を右クリックし、 [編集]をクリックします。

4. コンソール ツリーで、[コンピューターの構成]\[ポリシー]\[Windows の設定\セキュリティの設定\公開キーのポリシー] を開き、[信頼されたルート証明機関] を右クリックし、[インポート] をクリックします。

5. [証明書のインポート ウィザードの開始] ページで、[次へ] をクリックします。

6. [インポートするファイル] ページで、適切な証明書ファイルへのパス (\\fs1\c$\fs1.cer など) を入力し、[次へ] をクリックします。

7. [証明書ストア] ページで、[証明書をすべて次のストアに配置する] をクリックし、[次へ] をクリックします。

8. [証明書のインポート ウィザードの完了] ページで、指定した情報が正しいことを確認し、[完了] をクリックします。

9. 手順 2 から 6 を繰り返して、ファーム内の各フェデレーション サーバーに証明書を追加します。