Windows Hello for Businessを使用して Windows にログオンするときに"資格情報を確認できませんでした"エラー
この記事では、Windows Hello for Business (WHFB) で Windows にログオンしようとしたときに発生するエラー "資格情報を確認できませんでした" を修正する方法について説明します。
適用対象: Windows 10、Windows 11
元の KB 番号: 4519735
現象
WHFB 証明書またはキー信頼を使用してWindows 10またはWindows 11 デバイスにサインインしようとすると、次のいずれかのエラー メッセージで失敗します。
資格情報を確認できませんでした
問題が発生し、PIN が使用できません (状態: 0xc00000bb、substatus:0x0)。 をクリックして、PIN をもう一度設定します。
原因
この問題は、発行元の証明機関 (CA) 証明書がドメイン コントローラーとクライアント コンピューターの NTAuth ストアに存在しないために発生します。
WHFB を使用する場合、ドメイン コントローラーはクライアント コンピューターから送信された証明書を検証する必要があります。 検証中に、ドメイン コントローラーのキー配布センター (KDC) サービスを調べて、NTAuth レジストリ キーで発行元の CA 証明書が見つかるかどうかを確認します。 NTAuth レジストリ キーは にあります HKLM\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
。
注:
EnterpriseCertificates レジストリ キーに表示される内容は、Active Directory 内の場所です。 グループ ポリシーの更新中に、これらの証明書はフォレスト内のすべてのクライアント マシン、メンバー、ドメイン コントローラーによってレジストリにインポートされます。
問題を特定する方法
- 証明機関スナップイン を 開きます。
- 発行元の CA サーバーを右クリックし、[プロパティ] を選択 します。
- [ 全般 ] タブに移動し、複数の証明書がある場合は現在の証明書を選択し、[ 証明書の表示] を選択します。
- [ 詳細 ] タブに移動し、 拇印 属性まで下にスクロールします。
- 発行元の CA 証明書の拇印を書き留めます。
- ドメイン コントローラーでレジストリを開き、 に移動します
HKLM\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
。 - 上記のレジストリ キーの下に拇印の値を持つフォルダーがあるかどうかを確認します。
解決方法
証明機関スナップイン を 開きます。
発行元の CA サーバーを右クリックし、[プロパティ] を選択 します。
[ 全般 ] タブに移動し、複数の証明書がある場合は現在の証明書を選択し、[ 証明書の表示] を選択します。
[ ファイルにコピー ] オプションを使用して証明書をエクスポートします。 IssuingCA.cer などのファイルとして保存します。
ドメイン コントローラーで Enterprise 管理者の資格情報を使用してサインインし、次のコマンドを実行します。
certutil -dspublish -f IssuingCA.cer NTAuthCA certutil -enterprise -addstore NTAuth IssuingCA.cer
を実行
gpupdate /force
し、発行元 CA の拇印がこのレジストリ ハイブHKLM\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
の下に作成されていることを確認します。Active Directory レプリケーションが完了するまで待ちます。
クライアント コンピューターでも実行
gpupdate /force
し、発行元の CA 証明書の拇印がクライアント コンピューターに作成されていることを確認します。