Windows における証明書と信頼

適用対象: Windows Server (サポートされているすべてのバージョン)、Windows クライアント、Azure Stack HCI。

Microsoft ルート証明書プログラムによって、Windows オペレーティング システム内で信頼されたルート証明書と信頼されないルート証明書を配布できます。 Windows ルート証明書プログラムのメンバーの一覧に関する詳細については、「参加者の一覧 - Microsoft の信頼されたルート プログラム」を参照してください。

信頼されたルート証明書と信頼されていないルート証明書は、公開キー基盤 (PKI) の階層およびデジタル証明書が信頼できるかどうかを判断するときに、Windows オペレーティング システムとアプリケーションによって参照として使用されます。 信頼されていないルート証明書は、一般的に不正であることがわかっている証明書です。 信頼されたルート証明書と信頼されていないルート証明書の機能は、接続されているか接続されていないかに関係なく、すべての環境で機能します。

信頼されたルート証明書と信頼されていないルート証明書は、証明書信頼リスト (CTL) に含まれています。 ルート証明書を配布する場合は、CTL を使用します。 Windows Server には、最新の CTL のダウンロードを含む毎日の自動更新機能が備わっています。 信頼されたルート証明書と信頼されていないルート証明書の一覧は、それぞれ信頼された CTL と信頼されていない CTL と呼ばれます。 詳細については、 信用できない証明書とキーの自動アップデーターの公開に関するページをご覧ください。

サーバーとクライアントは Windows Update サイトにアクセスし、この記事で説明する毎日の自動更新メカニズム (CTL アップデーター) を使用して CTL を更新します。 適切なソフトウェア更新プログラムをインストールすると、CTL アップデーター機能を利用できます。 この記事で説明する、サポートされているオペレーティング システムへのソフトウェア更新プログラムのインストールのガイダンスについては、「信頼されたルートおよび許可されない証明書を構成する」の記事を参照してください。

証明書信頼リストの自動更新

既定では、Windows は CTL アップデーターと呼ばれる自動メカニズムを介してインターネットから CTL をダウンロードします。 CTL アップデーターによって使用されるパブリック URL は、クライアントで使用できるようにすることが可能です。

• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab
• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

自動更新機能は、必要に応じて無効にすることもできますが、お勧めしません。

代わりに、グループ ポリシーの管理用テンプレート (ADMX ポリシー) を作成して、更新のために内部サーバーにリダイレクトすることもできます。

信頼された CTL と信頼されていない CTL が格納されるレジストリの場所を次に示します。

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\EncodedCtl
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\DisallowedCertEncodedCtl

CTL アップデーターの利点

CTL アップデーターを使用した自動更新機能には、いくつかの利点があります。

• CTL を格納するためのレジストリ設定 新しい設定では、信頼された CTL や信頼されていない CTL をアップロードする場所を、Windows Update サイトから組織内の共有場所に変更できます。 「変更されたレジストリ設定」を参照してください。

• 同期オプション Windows Update サイトの URL をローカル共有フォルダーに移動した場合、ローカル共有フォルダーを Windows Update フォルダーと同期する必要があります。 このソフトウェア更新プログラムでは、同期を有効にするために使用できる Certutil ツールのオプションが追加されます。 詳細については、Certutil -syncWithWU Windows コマンド リファレンスを参照してください。

• 信頼されたルート証明書を選択するためのツール このソフトウェア更新プログラムでは、エンタープライズ環境で一連の信頼されたルート証明書を管理するためのツールが導入されます。 一連の信頼されたルート証明書を表示して選択し、シリアル化された証明書ストアにエクスポートし、グループ ポリシーを使って配布できます。 詳細については、Certutil -generateSSTFromWU SSTFile Windows コマンド リファレンスを参照してください。

• 独立した構成可能性 信頼された証明書と信頼されていない証明書の自動更新メカニズムを別々に構成できます。自動更新メカニズムを使用して、信頼されていない CTL のみをダウンロードし、信頼できる CTL の独自のリストを管理できます。 詳細については、「変更されたレジストリ設定」を参照してください。

この記事で説明する、サポートされているオペレーティング システムへのソフトウェア更新プログラムのインストールのガイダンスについては、「信頼されたルートおよび許可されない証明書を構成する」を参照してください。

自動更新機能は必要に応じて無効にできますが、お勧めしません。

次のステップ

これで、Windows での信頼されたルート証明書と許可されていない証明書についての理解を深められました。システムの構成に役立ついくつかの記事を次に示します。

• 信頼されたルートおよび許可されない証明書を構成する

• 参加者リスト - Microsoft の信頼されたルート プログラム

• ルート証明書の更新機能を制御し、インターネットとの間での情報のフローを禁止する方法に関するページ

• イベント ID 8 - ルート証明書の自動更新の構成

• certutil Windows コマンド リファレンス