グループ ポリシーを使用してクライアント コンピューターに証明書を配布する
次の手順で、アカウント フェデレーション サーバー、リソース フェデレーション サーバー、Web サーバーの適切な Secure Sockets Layer (SSL) 証明書 (または信頼されたルートにチェーンする同等の証明書) を、グループ ポリシーを使用してアカウント パートナー フォレスト内の各クライアント コンピューターにプッシュダウンできます。
この手順を実行するには、Active Directory Domain Services (AD DS) の Domain Admins または Enterprise Admins、またはそれと同等のメンバーシップが最低限必要です。 適切なアカウントおよびグループ メンバーシップの使用について詳しくは、「ローカルおよびドメインの既定のグループ(http://go.microsoft.com/fwlink/?LinkId=83477).」を参照してください
グループ ポリシーを使用してクライアント コンピューターに証明書を配布する
アカウント パートナー組織のフォレスト内のドメイン コントローラーで、グループ ポリシー管理スナップインを開始します。
既存のグループ ポリシー オブジェクト (GPO) を検索するか、証明書設定を含む新しい GPO を作成します。 GPO が、適切なユーザー アカウントとコンピューター アカウントが存在するドメイン、サイト、または組織単位 (OU) に関連付けられていることを確認します。
GPO を右クリックし、 [編集]をクリックします。
コンソール ツリーで、[コンピューターの構成]\[ポリシー]\[Windows の設定\セキュリティの設定\公開キーのポリシー] を開き、[信頼されたルート証明機関] を右クリックし、[インポート] をクリックします。
[証明書のインポート ウィザードの開始] ページで、[次へ] をクリックします。
[インポートするファイル] ページで、適切な証明書ファイルへのパス (\\fs1\c$\fs1.cer など) を入力し、[次へ] をクリックします。
[証明書ストア] ページで、[証明書をすべて次のストアに配置する] をクリックし、[次へ] をクリックします。
[証明書のインポート ウィザードの完了] ページで、指定した情報が正しいことを確認し、[完了] をクリックします。
手順 2 から 6 を繰り返して、ファーム内の各フェデレーション サーバーに証明書を追加します。