TechNet
エクスポート (0) 印刷
すべて展開
この記事は翻訳者によって翻訳されたものです。 記事の文章にポインターを重ねると、原文のテキストが表示されます。
訳文
原文

信頼されたルートおよび許可されない証明書を構成する

 

適用対象: Windows 8.1,Windows Server 2012 R2

Windows Server 2012 R2、Windows Server 2012、Windows 8.1、および Windows 8 オペレーティング システムには、証明書信頼リスト (CTL) を毎日ダウンロードする自動更新機構が含まれています。Windows Server 2012 R2 および Windows 8.1 では、CTL の更新方法を制御する追加機能も使用できます。

System_CAPS_important重要

ソフトウェア更新プログラムは、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、Windows 8、Windows 7、および Windows Vista で利用できます。 このドキュメントで説明する自動更新機構の拡張機能を提供するには、次の更新プログラムを適用します。

  • Windows Server 2008 R2、Windows Server 2008、Windows 7、または Windows Vista では、Microsoft サポート技術情報の記事 2677070 に示されている適切な更新プログラムを適用します。

  • Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、Windows 8、Windows 7、または Windows Vista では、Microsoft サポート技術情報の記事 2813430 に示されている適切な更新プログラムを適用します。

Microsoft ルート証明書プログラムによって、Windows オペレーティング システム内で信頼されたルート証明書を配布できます。 Windows ルート証明書プログラムのメンバーの一覧の詳細については、Windows ルート証明書プログラムのメンバー一覧 (すべての CA) に関するページをご覧ください。

信頼されたルート証明書は、Windows オペレーティング システムの信頼されたルート証明機関の証明書に配置します。 これらの証明書はオペレーティング システムによって信頼され、アプリケーションによって、公開キー基盤 (PKI) の階層の参照および信頼できるデジタル証明書として使用できます。 信頼されたルート証明書を配布するには、次の 2 種類の方法があります。

  1. 自動: 信頼されたルート証明書の一覧は、CTL に格納されます。 クライアント コンピューターは、自動更新機構を使用して Windows Update サイトにアクセスし、この CTL を更新します。

    System_CAPS_noteメモ

    信頼されたルート証明書の一覧は、信頼された CTL と呼ばれます。

  2. 手動: 信頼されたルート証明書の一覧は、Microsoft ダウンロード センター、Windows カタログ、または Windows Server Update Services (WSUS) を使って、自己解凍型 IEXPRESS パッケージとして入手できます。 IEXPRESS パッケージは、信頼された CTL と同時にリリースされます。

System_CAPS_noteメモ

これらの更新方法の詳細については、Microsoft サポート技術情報の記事 931125 をご覧ください。

信頼されていない証明書は、一般的に不正であることがわかっている証明書です。 信頼された CTL と同様に、信頼されていない証明書の一覧を配布する場合も 2 つの方法を使用できます。

  1. 自動: 信頼されていない証明書の一覧は、CTL に格納されます。 クライアント コンピューターは、自動更新機構を使用して Windows Update サイトにアクセスし、この CTL を更新します。

    System_CAPS_noteメモ

    信頼されていない証明書の一覧は、信頼されていない CTL と呼ばれます。 詳細については、信用できない証明書とキーの自動アップデーターの公開に関するページをご覧ください。

  2. 手動: 信頼されていない証明書の一覧は、必須のセキュリティに関する Windows Update で自己解凍型 IEXPRESS パッケージとして提供されます。

Windows Server 2012 R2 および Windows 8.1 (または既に説明したソフトウェア更新プログラムのインストール) 以前は、同じレジストリ設定で、信頼されたルート証明書と信頼されていない証明書の更新を制御していました。 管理者は選択的にいずれか一方を有効または無効にすることはできませんでした。 このため、次のような問題が発生します。

  • 組織の環境がインターネットに接続されていない場合、CTL を更新するには、IEXPRESS パッケージを使用する方法しかありませんでした。

    System_CAPS_noteメモ

    コンピューターが Windows Update サイトにアクセスできないコンピューター ネットワークを、このドキュメントでは、インターネットに接続されていない環境と見なします。

    IEXPRESS による更新方法はほとんど手動での処理になります。 さらに、IEXPRESS パッケージは CTL のリリース後すぐに提供されない場合があるため、この方法を使用するときには、こうれらの更新プログラムのインストールがさらに遅れる可能性があります。

  • 管理者が (インターネットに接続されていない環境またはインターネットに接続された環境で) 信頼されたルート証明書の一覧を管理している場合は、信頼された CTL の自動更新を無効にすることをお勧めしますが、信頼できない CTL の自動更新を無効にすることはお勧めしません。

    詳細については、ルート証明書の更新機能を制御し、インターネットとの間での情報のフローを禁止する方法に関するページをご覧ください。

  • ネットワーク管理者が、信頼された CTL の信頼されたルート証明書のみを表示して展開する方法はなかったため、信頼された証明書のカスタマイズされた一覧を管理することは難しい作業でした。

Windows Server 2012 R2 と Windows 8.1、または適切なソフトウェア更新プログラムがインストールされている場合、インターネットに接続されていない環境で、次の強化された自動更新機構を使用できます。

  • CTL を格納するためのレジストリ設定   新しい設定では、信頼された CTL や信頼されていない CTL をアップロードする場所を、Windows Update サイトから組織内の共有場所に変更できます。 詳細については、「変更されたレジストリ設定」のセクションを参照してください。

  • 同期オプション   Windows Update サイトの URL をローカル共有フォルダーに移動した場合、ローカル共有フォルダーを Windows Update フォルダーと同期する必要があります。 このソフトウェア更新プログラムでは、管理者が同期を有効にするために使用できる Certutil ツールのオプションが追加されます。 詳細については、「Certutil の新しいオプション」のセクションを参照してください。

  • 信頼されたルート証明書を選択するためのツール   このソフトウェア更新プログラムでは、管理者がエンタープライズ環境で一連の信頼されたルート証明書を管理するためのツールが導入されます。 管理者は、一連の信頼されたルート証明書を表示して選択し、シリアル化された証明書ストアにエクスポートし、グループ ポリシーを使って配布できます。 詳細については、このドキュメントの「Certutil の新しいオプション」セクションをご覧ください。

  • 独立した構成可能性   信頼された証明書と信頼されていない証明書の自動更新機構を、別々に構成できます。 これにより、管理者は、自動更新機構を使用して信頼されていない CTL のみをダウンロードし、信頼された CTL の一覧については独自に管理できます。 詳細については、このドキュメントの「変更されたレジストリ設定」セクションをご覧ください。

Windows Server 2012 R2 と Windows 8.1 では (、またはサポートされているオペレーティング システムで、前に説明したソフトウェア更新プログラムをインストールすることによって)、管理者は自動更新機構を使って、次のファイルをダウンロードするようにファイル サーバーや Web サーバーを構成できます。

  • authrootstl.cab。Microsoft 以外の CTL が含まれます。

  • disallowedcertstl.cab。信頼されていない証明書を含む CTL が含まれます。

  • disallowedcert.sst。信頼されていない証明書を含む、シリアル化された証明書ストアが含まれます。

  • thumbprint.crt。Microsoft 以外のルート証明書が含まれます。

この構成を実行する手順については、このドキュメントの「CTL ファイルをダウンロードするようにファイル サーバーまたは Web サーバーを構成する」をご覧ください。

Windows Server 2012 R2 および Windows 8.1 を使用することによって (またはサポートされているオペレーティング システムで、前に説明したソフトウェア更新プログラムをインストールすることによって)、管理者は次の作業を実行できます。

System_CAPS_important重要
  • このドキュメントで示すすべての手順では、ローカルの Administrators グループのメンバーであるアカウントを使用する必要があります。 Active Directory ドメイン サービス (AD DS) のすべての構成手順について、Domain Admins グループのメンバーであるアカウントを使用する必要があります。

  • このドキュメントの手順では、Microsoft から CTL をダウンロードするために、インターネットに接続できるコンピューターが少なくとも 1 台必要です。 ctldl.windowsupdate.com に接続するために、コンピューターには、HTTP (TCP ポート 80) アクセスと名前解決 (TCP および UDP ポート 53) 機能が必要です。 このコンピューターには、ドメイン メンバーまたはワークグループのメンバーを指定できます。 現在、ダウンロードしたすべてのファイルは、約 1.5 MB の領域を必要とします。

  • このドキュメントで説明している設定は、GPO を使用することによって実装されます。 GPO が AD DS ドメインからリンク解除された場合や、AD DS ドメインから削除された場合、これらの設定は自動的には削除されません。 これらの設定が実装されている場合、GPO を使用するか、影響を受けるコンピューターのレジストリを変更することによってのみ設定を変更できます。

  • このドキュメントで説明する概念は、Windows Server Update Services (WSUS) には依存しません。

    • このドキュメントで説明する構成を実装するために WSUS を使う必要はありません。

    • WSUS を使っている場合、これらの手順は WSUS の機能に影響しません。

    • WSUS を実装することは、このドキュメントで説明されている構成を実装する代わりにはなりません。

インターネットに接続されていない環境で信頼された証明書や信頼されていない証明書を容易に配布できるようにするには、まず自動更新機構から CTL ファイルをダウンロードするように、ファイル サーバーや Web サーバーを構成する必要があります。

System_CAPS_tipヒント

このセクションで説明されている構成は、コンピューターが Windows Update サイトに直接接続できる環境では必要ありません。 Windows Update サイトに接続できるコンピューターでは、更新された CTL を毎日受け取ることができます (コンピューターで Windows Server 2012 や Windows 8 を実行している場合、またはサポートされているオペレーティング システムに、前に説明したソフトウェア更新プログラムがインストールされている場合)。 詳細については、Microsoft サポート技術情報のドキュメント 2677070 をご覧ください。

インターネットにアクセスできるサーバーで CTL ファイルを取得するように構成するには

  1. 自動更新機構を使って同期することができ、CTL ファイルの格納に使用するファイル サーバーまたは Web サーバーで共有フォルダーを作成します。

    System_CAPS_tipヒント

    開始する前に、特にサービス アカウントでスケジュールされたタスク使用指定する場合は、適切なアカウントのアクセスを許可するために、共有フォルダーのアクセス許可と NTFS フォルダーのアクセス許可を調整する必要があります。 アクセス許可の調整の詳細については、「共有フォルダーのアクセス許可を管理する」をご覧ください。

  2. 管理者特権のコマンド プロンプトで、次のコマンドを実行します。

    Certutil -syncWithWU \\<server>\<share>
    

    <server> は実際のサーバー名に、<share> は共有フォルダー名に置き換えます。 たとえば、Server1 という名前のサーバーで、CTL という名前の共有フォルダーに対してこのコマンドを実行する場合は、次のコマンドを実行します。

    Certutil -syncWithWU \\Server1\CTL
    
  3. インターネットに接続されていない環境のコンピューターが、FILE パス (たとえば、FILE://\\Server1\CTL) または HTTP パス (たとえば、HTTP://Server1/CTL) を使用してネットワーク経由でアクセスできるサーバーで、CTL ファイルをダウンロードします

System_CAPS_noteメモ
  • CTL を同期するサーバーが、インターネットに接続されていない環境のコンピューターからアクセスできない場合は、他の方法で情報を転送する必要があります。 たとえば、ドメイン メンバー コンピューターのうちの 1 台がサーバーに接続することを許可し、そのドメイン メンバー コンピューター上で、内部 Web サーバーの共有フォルダーに情報をプルする別のタスクをスケジュールします。 まったくネットワーク接続がない場合は、リムーバブル記憶装置などの手動の処理でファイルを転送する必要があります。

  • Web サーバーを使用する場合、CTL ファイル用の新しい仮想ディレクトリを作成する必要があります。 インターネット インフォメーション サービス (IIS) を使用して仮想ディレクトリを作成する手順は、このドキュメントで説明するすべてのサポートされているオペレーティング システムでほぼ同じです。 詳細については、「仮想ディレクトリを作成する (IIS 7)」をご覧ください。

  • Windows のシステム フォルダーやアプリケーション フォルダーには、特殊な保護が適用されていることに注意してください。 たとえば、inetpub フォルダーでは特殊なアクセス許可が必要であり、スケジュールされたタスクでファイル転送用に使用する共有フォルダーを作成することを難しくしています。 管理者は、通常、ファイル転送に使用する論理ドライブ システムのルートにフォルダーの場所を作成できます。

ネットワーク上のコンピューターがドメイン環境で構成されており、自動更新機構を使用できない場合や CTL をダウンロードできない場合は、AD DS の GPO を実装して、別の場所から CTL の更新を取得するようにこれらのコンピューターを構成できます。

System_CAPS_noteメモ

ここで説明する構成を実行するには、「CTL ファイルをダウンロードするようにファイル サーバーまたは Web サーバーを構成する」の手順を完了している必要があります。

GPO のカスタム管理用テンプレートを構成するには

  1. ドメイン コントローラーで、新しい管理用テンプレートを作成します。 まずテキスト ファイルとして作成した後、ファイル名拡張子を .adm に変更できます。 このファイルの内容は次のようになります。

    CLASS MACHINE
    CATEGORY !!SystemCertificates
        KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"
        POLICY !!RootDirURL
           EXPLAIN !!RootDirURL_help
           PART !!RootDirURL EDITTEXT
                 VALUENAME "RootDirURL"
           END PART
        END POLICY
    END CATEGORY
    [strings]
    RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"
    RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."
    SystemCertificates="Windows AutoUpdate Settings"
    
    
  2. RootDirURL.adm などのわかりやすい名前を使用してファイルを保存します。

    System_CAPS_tipヒント
    • ファイル名拡張子が .txt ではなく、.adm になっていることを確認してください。

    • ファイル名拡張子の表示を有効にしていない場合は、ファイル名拡張子を表示する方法に関するページをご覧ください。

    • %windir%\inf フォルダーにファイルを保存すると、後の手順で簡単に見つけることができます。

  3. グループ ポリシー管理エディターを開きます。

    • Windows Server 2008 R2 または Windows Server 2008 を使用している場合は、[スタート] ボタン、[ファイル名を指定して実行] の順にクリックします。

    • Windows Server 2012 R2 または Windows Server 2012 を使用している場合は、Windows キーと R キーを同時に押します。

    GPMC.msc」と入力し、Enter キーを押します。

    System_CAPS_caution注意

    新しい GPO をドメインまたは組織単位 (OU) にリンクすることができます。 このドキュメントで実行されている GPO の変更は、適用先のコンピューターのレジストリ設定を変更します。 GPO を削除するか、GPO とのリンクを解除することによって、これらの設定を元に戻すことはできません。 この設定を元に戻すには、GPO の設定を元に戻すか、別の方法でレジストリを変更する方法しかありません。

  4. グループ ポリシー管理コンソールで、フォレスト オブジェクト、ドメイン オブジェクトの順に展開し、変更するコンピューター アカウントが含まれている特定のドメインを展開します。 特定の OU を変更する場合は、その場所に移動します。 既存の GPO をクリックするか、右クリックし、[このドメインに GPO を作成し、このコンテナーにリンクします] をクリックして新しい GPO を作成します。 変更する GPO を右クリックし、[編集] をクリックします。

  5. ナビゲーション ウィンドウの [コンピューターの構成][ポリシー] を展開します。

  6. [管理用テンプレート] を右クリックし、[テンプレートの追加と削除] をクリックします。

  7. [テンプレートの追加と削除] で、[追加] をクリックします。 [ポリシー テンプレート] ダイアログ ボックスで、前の手順で保存した .adm テンプレートを選択します。 [開く] をクリックし、[閉じる] をクリックします。

  8. ナビゲーション ウィンドウで、[管理用テンプレート] を展開し、[従来の管理用テンプレート (ADM)] を展開します。

  9. [Windows AutoUpdate Settings] (Windows の自動更新の設定) をクリックし、詳細ウィンドウで [URL address to be used instead of default ctldl.windowsupdate.com] (既定の ctldl.windowsupdate.com の代わりに使用する URL アドレス) クリックします。

  10. [有効] をクリックします。 [オプション] で、CTL ファイルを格納するファイル サーバーまたは Web サーバーの URL を入力します。 たとえば、「http://server1/CTL」や「file://\\server1\CTL」のように入力します。 [OK] をクリックします。 グループ ポリシー管理エディターを閉じます。

ポリシーはすぐに有効になりますが、新しい設定を受信するにはクライアント コンピューターを再起動する必要があります。または、管理者特権でのコマンド プロンプトや Windows PowerShell から「gpupdate /force」と入力することもできます。

System_CAPS_important重要

信頼された CTL と信頼されていない CTL は毎日更新できるため、スケジュールされたタスクやその他の方法 (エラー状態を処理するスクリプトなど) で常にファイルを同期し、共有フォルダーや Web 仮想ディレクトリを更新していることを確認します。 スケジュールされたタスクの作成方法の詳細については、「タスクをスケジュールする」をご覧ください。 毎日情報を更新するためのスクリプトを作成する場合は、このドキュメントの「Certutil の新しいオプション」および「Certutil -SyncWithWU の潜在的なエラー」セクションをご覧ください。 これらのセクションには、コマンド オプションとエラー状態に関する詳細な情報が記載されています。

一部の組織では、(信頼された CTL ではなく) 信頼されていない CTL のみを自動的に更新することが必要になる場合があります。 これを実現するために、2 つの .adm テンプレートを作成して、グループ ポリシーに追加できます。

System_CAPS_important重要
  1. インターネットに接続されていない環境では、前の手順 (信頼された CTL と信頼されていない CTL について、Microsoft の自動更新の URL をリダイレクトする) と共に次の手順を実行できます。 この手順では、信頼された CTL の自動更新を選択的に無効にする方法について説明します。

  2. また、分離された接続環境でこの手順を使用して、信頼された CTL の自動更新を選択的に無効にすることもできます。

信頼されていない CTL のみを選択的にリダイレクトするには

  1. ドメイン コントローラーで、まず新しい管理用テンプレートを作成します。テキスト ファイルとして作成した後、ファイル名拡張子を .adm に変更します。 このファイルの内容は次のようになります。

    CLASS MACHINE
    CATEGORY !!SystemCertificates
        POLICY !!DisableRootAutoUpdate    
           EXPLAIN !!Certificates_config
           VALUENAME "DisableRootAutoUpdate"
           VALUEON NUMERIC 0
              VALUEOFF NUMERIC 1
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
        END POLICY
    END CATEGORY
    [strings]
    DisableRootAutoUpdate="Auto Root Update"
    Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."
    SystemCertificates="Windows AutoUpdate Settings"
    
    
  2. DisableAllowedCTLUpdate.adm などのわかりやすい名前を使用してファイルを保存します。

  3. 2 番目の新しい管理用テンプレートを作成します。 このファイルの内容は次のようになります。

    CLASS MACHINE
    CATEGORY !!SystemCertificates
        POLICY !!EnableDisallowedCertAutoUpdate        
           EXPLAIN !!Certificates_config
           VALUENAME "EnableDisallowedCertAutoUpdate"
           VALUEON NUMERIC 1
              VALUEOFF NUMERIC 0
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
        END POLICY
    END CATEGORY
    [strings]
    EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"
    Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."
    SystemCertificates="Windows AutoUpdate Settings"
    
    
  4. EnableUntrustedCTLUpdate.adm などのわかりやすいファイル名を使用してファイルを保存します。

    System_CAPS_tipヒント
    • これらのファイルの拡張子が .txt ではなく、.adm になっていることを確認してください。

    • ファイル名拡張子の表示を有効にしていない場合は、ファイル名拡張子を表示する方法に関するページをご覧ください。

    • %windir%\inf フォルダーにファイルを保存すると、後の手順で簡単に見つけることができます。

  5. グループ ポリシー管理エディターを開きます。

  6. グループ ポリシー管理コンソールで、[フォレスト][ドメイン]、変更する特定のドメイン オブジェクトの順に展開します。 [既定のドメイン ポリシー] GPO を右クリックし、[編集] をクリックします。

  7. ナビゲーション ウィンドウの [コンピューターの構成][ポリシー] を展開します。

  8. [管理用テンプレート] を右クリックし、[テンプレートの追加と削除] をクリックします。

  9. [テンプレートの追加と削除] で、[追加] をクリックします。 [ポリシー テンプレート] ダイアログ ボックスを使用して、前の手順で保存した .adm テンプレートを選択します (Ctrl キーを押しながら各ファイルをクリックして、両方を選択できます)。 [開く] をクリックし、[閉じる] をクリックします。

  10. ナビゲーション ウィンドウで、[管理用テンプレート] を展開し、[従来の管理用テンプレート (ADM)] を展開します。

  11. [Windows AutoUpdate Settings] (Windows の自動更新の設定) をクリックし、詳細ウィンドウで [自動ルート更新] をダブルクリックします。

  12. [無効] をクリックします。 この設定によって、信頼された CTL の自動更新が禁止されます。 [OK] をクリックします。

  13. 詳細ウィンドウで、[Untrusted CTL Automatic Update] (信頼されていない CTL の自動更新) をダブルクリックします。 [有効] をクリックします。 [OK] をクリックします。

ポリシーはすぐに有効になりますが、新しい設定を受信するにはクライアント コンピューターを再起動する必要があります。または、管理者特権のコマンド プロンプトや gpupdate /force から「Windows PowerShell」と入力することもできます。

System_CAPS_important重要

信頼された CTL と信頼されていない CTL は毎日更新できるため、スケジュールされたタスクやその他の方法で常にファイルを同期し、共有フォルダーや仮想ディレクトリを更新していることを確認します。

ここでは、組織内のコンピューターで使用する、信頼された CTL を生成、確認、フィルター処理する方法について説明します。 この解決方法を使用するには、前の手順で説明している GPO を実装する必要があります。 この解決方法は、インターネットに接続されていない環境と接続された環境で利用できます。

信頼された CTL の一覧をカスタマイズするには、2 つの手順を完了する必要があります。

  1. 信頼された証明書のサブセットを作成する

  2. グループ ポリシーを使用して信頼された証明書を配布する

信頼された証明書のサブセットを作成するには

  1. インターネットに接続されたコンピューターで、Windows PowerShell を管理者として開くか、管理者特権のコマンド プロンプトを開いて、次のコマンドを入力します。

    Certutil -generateSSTFromWU WURoots.sst
    
  2. エクスプローラーで次のコマンドを実行して、WURoots.sst を開きます。

    start explorer.exe wuroots.sst
    
    System_CAPS_tipヒント

    Internet Explorer を使用して、このファイルに移動し、ダブルクリックして開くこともできます。 ファイルを格納した場所によって、「wuroots.sst」と入力することによって開くことができる場合もあります。

  3. 証明書マネージャーのナビゲーション ウィンドウで、[証明書 - 現在のユーザー][証明書] が表示されるまでファイルのパスを展開し、[証明書] をクリックします。

  4. 詳細ウィンドウで、信頼された証明書を確認できます。 Ctrl キーを押しながら、許可する証明書それぞれをクリックします。 許可する証明書の選択が完了したら、選択した証明書の 1 つを右クリックし、[すべてのタスク][エクスポート] の順にクリックします。

    System_CAPS_important重要

    .sst ファイルをエクスポートするには、少なくとも 2 つの証明書を選択する必要があります。 証明書を 1 つだけを選択した場合、.sst ファイルは使用できなくなり、代わりに .cer ファイルが選択されます。

  5. 証明書のエクスポート ウィザードで、[次へ] をクリックします。

  6. [エクスポート ファイルの形式] ページで、[Microsoft シリアル化された証明書ストア (.SST)] をクリックし、[次へ] をクリックします。

  7. [エクスポートするファイル] ページで、ファイルのパスと適切なファイルの名前を、「C:\AllowedCerts.sst」のように入力し、[次へ] をクリックします。 [完了] をクリックします。 正常にエクスポートされたことを示すメッセージが表示されたら、[OK] をクリックします。

  8. 作成した .sst ファイルをドメイン コントローラーにコピーします。

グループ ポリシーを使用して信頼された証明書の一覧を配布するには

  1. カスタマイズされた .sst ファイルがあるドメイン コントローラーで、グループ ポリシー管理エディターを開きます。

  2. グループ ポリシー管理コンソールで、[フォレスト][ドメイン]、変更する特定のドメイン オブジェクトの順に展開します。 [既定のドメイン ポリシー] GPO を右クリックし、[編集] をクリックします。

  3. ナビゲーション ウィンドウで、[コンピューターの構成][ポリシー][Windows の設定][セキュリティの設定] の順に展開し、[公開キーのポリシー] をクリックします。

  4. [信頼されたルート証明機関] を右クリックし、[インポート] をクリックします。

  5. 証明書のインポート ウィザードで、[次へ] をクリックします。

  6. このドメイン コントローラーにコピーしたファイルのパスとファイル名を入力するか、[参照] ボタンを使用してファイルを選択します。 [次へ] をクリックします。

  7. [次へ] をクリックして、[信頼されたルート証明機関] の証明書ストアにこれらの証明書が配置されたことを確認します。 [完了] をクリックします。 証明書が正常にインポートされたことを示すメッセージが表示されたら、[OK] をクリックします。

  8. グループ ポリシー管理エディターを閉じます。

ポリシーはすぐに有効になりますが、新しい設定を受信するにはクライアント コンピューターを再起動する必要があります。または、管理者特権のコマンド プロンプトや gpupdate /force から「Windows PowerShell」と入力することもできます。

このドキュメントで説明している設定は、クライアント コンピューターの次のレジストリ キーを構成します。 GPO がドメインからリンク解除された場合や、ドメインから削除された場合、これらの設定は自動的には削除されません。 これらの設定を変更する場合は、明確に再構成する必要があります。

レジストリ キー

値と説明

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate

値が 1 の場合、信頼された CTL の Windows の自動更新を無効にします。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdate

値が 1 の場合、信頼されていない CTL の Windows の自動更新を有効にします。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl

共有場所 (HTTP または FILE パス) を構成します。

Certutil に次のオプションが追加されました。

構文

description

CertUtil [オプション] -syncWithWU DestinationDir

Windows Update と同期します。

  • DestinationDir は、自動更新機構を使用してファイルを受け取るフォルダーです。

  • 自動更新の機構を使用して次のファイルがダウンロードされます:

    • authrootstl.cab。Microsoft 以外のルート証明書の CTL が含まれます。

    • disallowedcertstl.cab。信頼されていない証明書の CTL が含まれます。

    • disallowedcert.sst。信頼されていない証明書を含む、シリアル化された証明書ストアが含まれます。

    • <thumbprint>.crt。Microsoft 以外のルート証明書が含まれます。

CertUtil -syncWithWU \\server1\PKI\CTLs

CertUtil [オプション] -generateSSTFromWU SSTFile

自動更新機構を使用して SST を生成します。

SSTFile: 作成される .sst ファイル。 生成された .sst ファイルには、自動更新機構を使用してダウンロードされた Microsoft 以外のルート証明書が含まれます。

CertUtil –generateSSTFromWU TRoots.sst

System_CAPS_tipヒント

Certutil -SyncWithWU -f <folder> は、対象フォルダーの既存のファイルを更新します。

Certutil -syncWithWU -f -f <folder> は、対象フォルダー内のファイルを削除し、置き換えます。

Certutil -syncWithWU コマンドを実行すると、次のエラーと警告が発生する場合があります:

  • 保存先のフォルダーとして存在しないローカル パスまたはフォルダーを指定すると、次のエラーが表示されます。

    指定されたファイルが見つかりません。 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

  • 保存先のフォルダーとして存在しない、または利用できないネットワークの場所を指定すると、次のエラーが表示されます。

    ネットワーク名が見つかりません。 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

  • サーバーが TCP ポート 80 で Microsoft 自動更新サーバーに接続できない場合、次のエラーが表示されます。

    サーバーへの接続を確立できませんでした 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

  • サーバーが DNS 名 ctldl.windowsupdate.com を持つ Microsoft 自動更新サーバーに到達できない場合、次のエラーが表示されます。

    サーバー名またはアドレスは解決されませんでした 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

  • -f スイッチを使用せず、CTL ファイルのいずれかがディレクトリに存在する場合、file が存在するというエラーが表示されます。

    CertUtil: -syncWithWU コマンドの実行に失敗しました: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: 既に存在するファイルを作成することはできません。

  • 信頼されたルート証明書に変更がある場合は、次のように表示されます。"警告! 信頼されなくなった次のルートが見つかりました: <folder path>\<thumbprint>.crt。 前の ".crt" ファイルを削除するには "-f -f" オプションを使用してください。 "authrootstl.cab" は更新されましたか? 更新された場合は、すべてのクライアントが更新されるまで、削除を延期することを検討してください。"

表示:
© 2016 Microsoft