Ini pengalaman saya bahwa setelah Anda mengatur CA dan Cert disimpan dalam ADDS, komputer akan mengambilnya pada boot berikutnya dan menyimpannya di root store yang dipercaya komputer. Saya biasanya menempatkan CA di semua domain AD yang saya kelola karena membuka opsi untuk menggunakan CA untuk semua kebutuhan sertifikat Anda tanpa ada pekerjaan tambahan untuk komputer anggota domain. Ini termasuk Windows Server 2008 R2 SSTP VPN atau L2TP IPSec yang menggunakan sertifikat. PPTP tradisional tidak menggunakan sertifikat.
Sedikit tidak terkait, tetapi jika Anda ingin orang-orang menggunakan VPN saat login, Anda harus menggunakan GPO untuk mendorong konfigurasi VPN atau ketika Anda secara manual membuat VPN di komputer, centang kotak "sediakan untuk semua pengguna" yang menyimpan konfigurasi VPN di profil publik daripada profil pengguna tertentu. Setelah selesai, sebelum masuk, klik tombol sakelar pengguna (vista / 7) dan Anda akan melihat ikon VPN baru di bagian bawah kanan oleh tombol shutdown. Itu memecahkan masalah "pengguna baru yang masuk tanpa berada di jaringan terlebih dahulu".
Terakhir, ketika Anda membuat root CA, pastikan itu menjalankan Windows Enterprise atau Layanan Sertifikat akan lumpuh (dalam ed Standar.) Dan saya tidak akan membuat kedaluwarsa kurang dari 10 tahun untuk menyelamatkan Anda beberapa pekerjaan di masa depan.