次の手順を使用すると、グループ ポリシーを使用して、アカウント フェデレーション サーバー、リソース フェデレーション サーバー、および Web サーバーの適切な Secure Sockets Layer (SSL) 証明書 (または信頼されたルートにチェーンされている同等の証明書) を、アカウント パートナー フォレスト内の各クライアント コンピューターにプッシュダウンできます。
この手順を完了するには、 Active Directory Domain Services (AD DS) の Domain Admins または Enterprise Admins または同等のメンバーシップが最低限必要です。 ローカルおよびドメインの既定のグループで適切なアカウントとグループ メンバーシップを使用する方法の詳細を確認します (http://go.microsoft.com/fwlink/?LinkId=83477).
グループ ポリシーを使用してクライアント コンピューターに証明書を配布するには
アカウント パートナー組織のフォレスト内のドメイン コントローラーで、 グループ ポリシー管理 スナップインを開始します。
既存のグループ ポリシー オブジェクト (GPO) を見つけるか、証明書設定を含む新しい GPO を作成します。 GPO が、適切なユーザーおよびコンピューター アカウントが存在するドメイン、サイト、または組織単位 (OU) に関連付けられていることを確認します。
GPO を右クリックし、[ 編集] をクリックします。
コンソール ツリーで、[ コンピューターの構成]、[ポリシー]、[Windows の設定]、[セキュリティの設定]、[公開キー ポリシー] の順に開き、[ 信頼されたルート証明機関] を右クリックし、[ インポート] をクリックします。
[ 証明書のインポート ウィザードへようこそ ] ページで、[ 次へ] をクリックします。
[ インポートするファイル ] ページで、適切な証明書ファイルへのパス (たとえば、\\fs1\c$\fs1.cer) を入力し、[ 次へ] をクリックします。
[ 証明書ストア ] ページで、[ 次のストアにすべての証明書を配置] をクリックし、[ 次へ] をクリックします。
[ 証明書のインポート ウィザードの完了 ] ページで、指定した情報が正確であることを確認し、[ 完了] をクリックします。
手順 2 から 6 を繰り返して、ファーム内の各フェデレーション サーバーに証明書を追加します。