Sie können ein Zertifikat und einen (privaten) Schlüssel nicht mit Gruppenrichtlinien verteilen. Die ganze Idee ist ziemlich sinnlos, da der private Schlüssel definitionsgemäß privat ist und daher nicht weitergegeben werden sollte.
Sie können Zertifikate jedoch auch nach Gruppenrichtlinien verteilen. Abhängig von der Windows-Version können Sie Zertifikate an den Stammspeicher, den Zwischenspeicher oder andere senden.
Sie müssen eine Zertifizierungsstelle erstellen (mit OpenSSL, Microsoft Active Directory Certificate Services (ADCS) oder anderen Tools) und diese verwenden, um Zertifikatsignierungsanfragen von jedem Client zu signieren.
Wie @ grawity sagt, haben Sie Windows, also können Sie auch ADCS verwenden. Sie können es sogar so konfigurieren, dass sich alle Clients ohne Eingreifen des Benutzers automatisch für ein Zertifikat registrieren.
Mein Vorschlag ist:
- Installieren Sie eine Offline-Stammzertifizierungsstelle mit Microsoft ADCS.
- Installieren Sie eine ausstellende Online-Zertifizierungsstelle mit Microsoft ADCS.
- Konfigurieren Sie Gruppenrichtlinien, um das Zertifikat der Stammzertifizierungsstelle an alle Geräte zu verteilen.
- Konfigurieren Sie Gruppenrichtlinien, um die automatische Registrierung zu aktivieren, damit alle Ihre Geräte ihre eigenen Zertifikate von der ausstellenden Zertifizierungsstelle anfordern.
Denken Sie daran, dass schlechte Sicherheit schlechter ist als gar keine. Recherchieren Sie, bevor Sie sich mit PKI beschäftigen.