Windows Serverは認証局サービスを提供します。ただし、ドキュメントから、ルート証明書がクライアントに配布される方法(または配布されるかどうか)は明確ではありません。
回答:
配布に使用される方法は、セットアップするCAの種類(スタンドアロン/エンタープライズ)によって異なります。
スタンドアロンまたはMicrosoft以外のCAの場合、通常、これをグループポリシーと共に配布します。
見る:
ドメインにエンタープライズ認証局をインストールすると、これが自動的に行われます。
TechNetから:エンタープライズ証明機関(ここにアーカイブされています。)
エンタープライズルートCAをインストールすると、グループポリシーを使用して、ドメイン内のすべてのユーザーとコンピューターの信頼されたルート証明機関の証明書ストアに証明書を伝達します。
CAをセットアップし、証明書がADDSに保存されると、コンピューターは次回の起動時にそれを取得し、コンピューターの信頼されたルートストアに保存します。通常、私は管理するすべてのADドメインにCAを配置します。これは、ドメインメンバーコンピューターの追加作業なしで、すべての証明書のニーズにCAを使用するオプションを開くためです。これには、証明書を使用するWindows Server 2008 R2 SSTP VPNまたはL2TP IPSecが含まれます。従来のPPTPは証明書を使用しません。
少し関係ありませんが、ログイン中にVPN を使用したい場合は、GPOを使用してVPN構成をプッシュするか、コンピューターでVPNを手動で作成するときに、VPN構成を特定のユーザープロファイルではなくパブリックプロファイル。それが完了したら、ログインする前に、ユーザー切り替えボタン(vista / 7)をクリックすると、シャットダウンボタンの右下に新しいVPNアイコンが表示されます。これにより、「最初にネットワークに接続せずにログインする新しいユーザー」という問題が解決されます。
最後に、ルートCAを作成するときは、Windows Enterpriseを実行していることを確認してください。そうしないと、証明書サービスが無効になります(標準版)。
標準的な方法は、グループポリシーオブジェクト(GPO)を介して、独自のドメイン内を含め、信頼されたルート証明書を配布することです。これは、ドメインコンピューターとドメインコントローラーの BUILTINセキュリティグループに対する適切なリンクとセキュリティフィルターを使用して新しいGPOを作成することで実行できます。これにより、ドメインに参加しているWindowsコンピューターオブジェクトの信頼されたルート証明書の標準化されたセットが確保されます。
GPO自体はComputer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities、正しいストアにあり、正しいストアを指定しています。クライアントは、再起動時および/または次のGPO処理間隔中にポリシーを受信します。これは、gpupdate /forceコマンドを使用して強制できます。