信頼されたルート証明機関の証明書ストア
Windows Vista 以降、プラグ アンド プレイ (PnP) マネージャーは、デバイスとドライバーのインストール中にドライバー署名の検証を実行します。 検証は次の場合に成功します。
署名の作成に使用された署名証明書は、証明機関 (CA) によって発行されました。
CAに対応するルート証明書は、 信頼できるルート証明機関の証明書ストアにインストールされます。 そのため、信頼できるルート証明機関の証明書ストアには、Windows が信頼するすべての CA のルート証明書が含まれます。
Windows コンピューターで信頼されたルート証明機関の証明書ストアにアクセスするには、Microsoft 管理コンソール (MMC) を証明書スナップインと共に使用します。 以下に、Windows 10/11 コンピューターでこれを行う手順を示します。
[ファイル名を指定して実行] ダイアログを開く:
Windows key + Rを押して、[ファイル名を指定して実行] ダイアログを開きます。MMC を開く: [ファイル名を指定して実行] ダイアログに「
mmc」と入力し、Enter キーを押します。 これで、Microsoft 管理コンソールが開きます。 ユーザー アカウント制御 (UAC) からメッセージが表示されたら、[はい] をクリックして、MMC がデバイスに変更を加えることを許可します。証明書スナップインを追加する:
- [MMC] ウィンドウで、メニュー バーの [
File] をクリックし、[Add/Remove Snap-in] を選択します。 - [スナップインの追加と削除] ウィンドウで、下にスクロールして、[
Certificates] を選択し、[Add >] をクリックします。 - 管理する証明書を尋ねるポップアップが表示されます。 [
Computer account] を選択し、[Next] をクリックします。 - [
Local computer: (the computer this console is running on)] を選択し、[Finish] をクリックします。 - 必要に応じて [
My user account] や [Service account] を選択することもできますが、信頼されたルート証明機関にアクセスする場合、通常は [Computer account] を選択します。 - [
OK] をクリックして、[スナップインの追加と削除] ウィンドウを閉じます。
- [MMC] ウィンドウで、メニュー バーの [
信頼されたルート証明機関にアクセスする:
- MMC で、
Certificates (Local Computer)ツリーの下のTrusted Root Certification Authoritiesフォルダーを展開します。 - [
Trusted Root Certification Authorities] の下の [Certificates] をクリックします。 これで、現在コンピューターに信頼されているすべての証明書が表示されます。
- MMC で、
証明書を管理する:
- ここから、各証明書の詳細を表示したり、新しい信頼された証明書をインポートしたり、既存の証明書を削除したりできます。 ただし、証明書を追加または削除する際は、システムのセキュリティや機能に影響を与える可能性があるため注意してください。
MMC を閉じる:
- 完了したら、MMC ウィンドウを閉じることができます。 変更を加えていて、コンソールの設定を保存するかどうかを確認するメッセージが表示された場合は、このコンソール設定を頻繁に再利用する予定がない限り、[
No] を選択します。
- 完了したら、MMC ウィンドウを閉じることができます。 変更を加えていて、コンソールの設定を保存するかどうかを確認するメッセージが表示された場合は、このコンソール設定を頻繁に再利用する予定がない限り、[
証明書と信頼されたルート証明機関ストアの管理は慎重に行う必要があり、通常は管理者特権が必要です。 不適切な変更により、システムのセキュリティが損なわれる可能性があります。
既定では、信頼されたルート証明機関の証明書ストアは、Microsoft ルート証明書プログラムの要件を満たした一連の公的 CA で構成されています。 管理者は、信頼できる CA の既定のセットを構成し、ソフトウェアを検証するために独自のプライベート CA をインストールできます。
注: プライベート CA がネットワーク環境の外部で信頼される可能性はほとんどありません。
有効なデジタル署名を使用すると、ドライバー パッケージの信頼性と整合性が保証されます。 ただし、エンド ユーザー、またはシステム管理者がソフトウェア発行元を暗黙的に信頼するという意味ではありません。 ユーザーまたは管理者は、ソフトウェアの発行元とアプリケーションに関する知識に基づいて、アプリケーションをケース バイ ケースでインストールまたは実行するかどうかを決定する必要があります。 既定では、発行元は、証明書が信頼できる発行元の証明書ストアにインストールされている場合にのみ信頼されます。
信頼できるルート証明機関の証明書ストアの名前は root です。CertMgr ツールを使用して、プライベート CA のルート証明書をコンピューター上の信頼されたルート証明機関の証明書ストアに手動でインストールできます。
注: PnP マネージャーによって使用されるドライバー署名検証ポリシーでは、プライベート CA のルート証明書が、ルート証明機関の証明書ストアのローカル コンピューター バージョンに事前にインストールされている必要があります。 詳しくは、「Local Machine and Current User Certificate Stores」(ローカル マシンおよび現在のユーザーの証明書ストア) をご覧ください。
ドライバー 署名詳細については、「ドライバーの署名ポリシー」を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示