事例見つからなくて苦労しまくり。

ポイントは

• オレオレ証明書を使う＝AD認証サービスでルートCA立てる
• 失効リストをちゃんとIISで公開する
• クライアント証明書はキーのアクセス許可でNETWORK SERVICEを入れる
• WinRM - httpsをFW通す忘れないコト

VPN張ってAD使ったほうが絶対楽やったで、コレ…