Microsoft ルート証明書プログラムによって、Windows オペレーティング システム内で信頼されたルート証明書と信頼されないルート証明書を配布できます。 この記事では、Windows で証明書と信頼リストを管理する方法と、セキュリティを維持するための自動更新の利点について説明します。 Windows ルート証明書プログラムのメンバーの一覧に関する詳細については、「参加者の一覧 - Microsoft の信頼されたルート プログラム」を参照してください。
信頼されたルート証明書と信頼されていないルート証明書は、公開キー基盤 (PKI) の階層およびデジタル証明書が信頼できるかどうかを判断するときに、Windows オペレーティング システムとアプリケーションによって参照として使用されます。 信頼されていないルート証明書は、一般的に不正であることがわかっている証明書です。 信頼されたルート証明書と信頼されていないルート証明書の機能は、接続されているか接続されていないかに関係なく、すべての環境で機能します。
信頼されたルート証明書と信頼されていないルート証明書は、証明書信頼リスト (CTL) に含まれています。 ルート証明書を配布する場合は、CTL を使用します。 Windows Server には、最新の CTL のダウンロードを含む毎日の自動更新機能が備わっています。 信頼されたルート証明書と信頼されていないルート証明書の一覧は、それぞれ信頼された CTL と信頼されていない CTL と呼ばれます。 詳細については、 信用できない証明書とキーの自動アップデーターの公開に関するページをご覧ください。
サーバーとクライアントは Windows Update サイトにアクセスし、この記事で説明する毎日の自動更新メカニズム (CTL アップデーター) を使用して CTL を更新します。 適切なソフトウェア更新プログラムをインストールすると、CTL アップデーター機能を利用できます。 この記事で説明する、サポートされているオペレーティング システムへのソフトウェア更新プログラムのインストールのガイダンスについては、「信頼されたルートおよび許可されない証明書を構成する」の記事を参照してください。
証明書信頼リストの自動更新
既定では、Windows は CTL アップデーターと呼ばれる自動メカニズムを介してインターネットから CTL をダウンロードします。 CTL アップデーターによって使用されるパブリック URL は、クライアントで使用できるようにすることが可能です。
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cabhttp://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
自動更新機能は、必要に応じて無効にすることもできますが、お勧めしません。
代わりに、グループ ポリシーの管理用テンプレート (ADMX ポリシー) を作成して、更新のために内部サーバーにリダイレクトすることもできます。
信頼された CTL と信頼されていない CTL が格納されるレジストリの場所を次に示します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\EncodedCtlHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\DisallowedCertEncodedCtl
CTL アップデーターの利点
CTL アップデーターを使用した自動更新機能には、いくつかの利点があります。
CTL を格納するためのレジストリ設定 新しい設定では、信頼された CTL や信頼されていない CTL をアップロードする場所を、Windows Update サイトから組織内の共有場所に変更できます。 「変更されたレジストリ設定」を参照してください。
Synchronization options If the URL for the Windows Update site is moved to a local shared folder, the local shared folder must be synchronized with the Windows Update folder. このソフトウェア更新プログラムでは、同期を有効にするために使用できる Certutil ツールのオプションが追加されます。 For more information, see the Certutil -syncWithWU Windows command reference.
信頼されたルート証明書を選択するためのツール このソフトウェア更新プログラムでは、エンタープライズ環境で一連の信頼されたルート証明書を管理するためのツールが導入されます。 一連の信頼されたルート証明書を表示して選択し、シリアル化された証明書ストアにエクスポートし、グループ ポリシーを使って配布できます。 詳細については、Certutil -generateSSTFromWU SSTFile Windows コマンド リファレンスを参照してください。
Independent configurability The automatic update mechanism for trusted and untrusted certificates are independently configurable; you can use the automatic update mechanism to download only the untrusted CTLs and manage your own list of trusted CTLs. 詳細については、「変更されたレジストリ設定」を参照してください。
この記事で説明する、サポートされているオペレーティング システムへのソフトウェア更新プログラムのインストールのガイダンスについては、「信頼されたルートおよび許可されない証明書を構成する」を参照してください。
自動更新機能は必要に応じて無効にできますが、お勧めしません。
Next steps
これで、Windows での信頼されたルート証明書と許可されていない証明書についての理解を深められました。システムの構成に役立ついくつかの記事を次に示します。