i-Filter等のProxy製品では、代理証明書を利用するためにグループポリシーを利用して配布している環境は多いと思いますが、
グループポリシーで配布できる証明書は、ルート証明書や中間証明書など、一部の証明書に限られています。
セキュリティーを高めるために接続元クライアントに証明書を導入する「クライアント証明書」を利用するケースがあると思いますが、
端末個々やユーザ個々に証明書を導入する必要があり、利用する側からすると少々面倒です。
クライアント証明書を利用するには、秘密鍵付きの証明書(pfx形式かな)を個人の証明書としてインポートする必要があり、
先程のグループポリシーでは実装できません。
秘密鍵付きの証明書をインポートした場合ですが、ファイルやレジストリに保存されることは確かです。保存されている場所が
分かるとポリシーで配布することもできそうです。
※共通のクライアント証明書を利用している環境に限ります。そもそも、セキュリティー的にどうなのかと言う議論は・・・。
インポートされた証明書は、次のパスに保存されています。
%APPDATA%\Microsoft\SystemCertificates\My\Certificates\
秘密鍵ですが、こちらは次のパスに保存されています。
%APPDATA%\Microsoft\SystemCertificates\My\Keys\
それぞれのパスに証明書の「拇印」を元にしたファイル名のファイルが保存されています。このファイルをスクリプトや
ポリシーを使って配布すると個々に登録する必要がなくなります。
※先程も言いましたが、共通のクライアント証明書を利用している環境に限ります。そもそも、セキュリティー的にどうなのかと言う議論は・・・。
うまくいけば秘密鍵を伝える必要もなくなるんですよね。
ポリシーで実装するには[ユーザーの構成]->[基本設定]->[Windowsの設定] にある「ファイル」で行います。
「Windowsの設定」にあるポリシーは、「項目レベルで対象化する」の機能が利用でき、セキュリティーグループやユーザー、
OUやコンピューター名等を条件に適用することができるので、特定のユーザーやグループ、端末にのみ配布することもできます。
セキュリティーを担保しつつ、色々試してみてはいかがでしょうか。
さて、これから検証をしてみようかな。