Windows で信頼されたルート証明書を管理する方法

場合によっては、アップデートや通常のブラウジングでさえ、エラー 0x800b010a のようなルート証明書が見つからないというエラーが表示されることがあります。これは、アクセスがブロックされたり、特定の Web サイトやアプリで信頼の問題が発生したりするため、かなり面倒です。正直なところ、これらの問題は、特に Windows のアップデート後や証明書が壊れた場合に、思ったよりも頻繁に発生します。このような問題に直面している場合は、信頼されたルート証明書を確認するか、必要に応じて新しい証明書を追加することをお勧めします。これらの証明書を手動で管理できれば、特に一部のソフトウェアや Web サイトが、不足している特定の機関を信頼することを要求している場合など、多くの手間を省くことができます。それでは、新しい証明書をインストールするか、既存の証明書を管理するか、実際の環境で実際に機能する実用的な方法に焦点を当てながら、この問題を解決する方法について順を追って見ていきましょう。

Windowsで信頼されたルート証明書の問題を修正する方法

正しい信頼されたルート証明書をダウンロードしてインストールする

まず、信頼できるソースからレジストリ証明書またはCA証明書をダウンロードしてください。Microsoftの公式ドキュメントが参考になるでしょう。PowerShell経由でこれらの証明書をインストールする は、自動セットアップに非常に役立ちます。手動でインストールしたい場合は、以下の手順に従ってください。

• CA プロバイダーの Web サイト、またはIdenTrustなどの公式ルート CA リストにアクセスします。
• CA証明書（通常はBase64（PEM）形式）をダウンロードしてください。「CA証明書をダウンロード」などのリンクを探してください。
• ダウンロードしたファイルを開くと、証明書のインポートウィザードが表示されます。表示されない場合は、手動でダブルクリックしてください。
• 「証明書のインストール…」をクリックします。ウィザードが表示されたら、「次へ」をクリックします。
• [証明書をすべて次のストアに配置する]を選択し、[信頼されたルート証明機関]を選択します。
• ウィザードを終了し、 UAC のプロンプトが表示されたら[はい]をクリックして、緑色のチェックマークが表示されるのを待ちます。

注：一部のマシンでは、インポート処理がハングしたり、初回のインポートに失敗したりすることがあります。その場合は、再起動すると問題が解決するかもしれません。Windowsは信頼済みストアを更新する必要があり、再起動後に再試行するだけで問題が解決することがよくあります。

信頼されたルート証明書をWindowsに手動で追加する

ここから少し面倒ですが、セキュリティに詳しくなくても実行できます。MMCを開きます。 を押して「ファイル名を指定して実行」Windows + Xを選択します。入力してEnterキーを押します。UACプロンプトが表示されたら「はい」をクリックします。mmc

• 「ファイル」 > 「スナップインの追加と削除」に進みます。Ctrl + M を押すこともできます。
• リストから「証明書」を見つけます。それをクリックして、「追加」を押します。
• 「コンピュータアカウント」を選択し、「次へ」をクリックします。「ローカルコンピュータ」を選択し、「完了」をクリックします。
• メインの MMC ウィンドウに戻ると、コンソール ルートの下に[証明書 (ローカル コンピューター)]が表示されます。
• 新しいルート証明書を追加するには、「ファイル」メニューの「スナップインの追加と削除」に進みます。今回は「グループポリシーオブジェクトエディター」を選択します。これはより高度なツールですが、信頼されたルート証明書を広範囲に管理するのに便利です。
• 「Local Computer」と入力し、「Finish」をクリックして、次の場所に移動します。

  Local Computer Policy > Computer Configuration > Windows Settings > Security Settings > Public Key Policies

  「証明書パス検証設定」をダブルクリックします。「ストア」タブに切り替え、「これらのポリシー設定を定義する」の横にあるチェックボックスをオンにします。そこから、 「ユーザーごとの証明書ストア」の下にあるボックスにチェックを入れます。

  最後に、 「ルート証明書ストア」セクションまでスクロールダウンします。「サードパーティのルートCA」と「エンタープライズルートCA（推奨）」を選択します。「適用」と「OK」をクリックします。

  このトリックは信頼ポリシーをリセットし、Windowsが追加したルートを正しく認識できるようにします。ただし、設定によっては、再起動やログオフ/ログインを繰り返すまで変更が完全に反映されない場合があります。いずれにせよ、単純なインポートがうまくいかなかった場合は試してみる価値があります。

  Windows で既存の信頼されたルートを管理する

  Windowsが信頼する証明書を微調整するには、再度MMCにアクセスする必要があります。「ファイル名を指定して実行」を開き、「」と入力して、先ほどと同じようにコンピューターアカウントの証明書スナップインmmcを追加します。

  • 「ファイル」 > 「スナップインの追加と削除」に切り替えます。PC全体のポリシーを管理する場合は、「グループポリシーオブジェクトエディター」を選択します。
  • ナビゲート: Local Computer Policy > Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Certificate Path Validation Settings。
  • 「ストア」をクリックします。ここにすべての信頼ストアのオプションが表示されます。
  • 「これらのポリシー設定を定義する」を有効にし、「ユーザーごとの証明書ストア」を選択します。 「サードパーティのルートCA」のチェックボックスもオンにします。
  • 疑わしいルートを信頼しないように、ルート証明書ストアのラジオ ボタンが「サードパーティ」に設定されていることを確認します。
  • [適用]と[OK]をクリックします。

    古いルート証明書や無効なルート証明書を削除すると、信頼性の問題を軽減し、セキュリティを向上できます。ただし、間違った証明書を削除すると、一部のアプリやサイトが動作しなくなる可能性があるため、ご注意ください。

    ええ、このプロセス全体は最初は少し大げさに聞こえるかもしれませんが、信頼エラーがどうしても解消しない場合は、これらの手順ですべてを同期させることができます。正直なところ、ルートの管理は日常的な使用には含まれていないはずですが、時には袖をまくってやる必要があることもあります。

    まとめ

    • 信頼できるソースから不足しているルート CA 証明書をダウンロードしてインストールします。
    • 必要に応じて、MMC を使用して新しいルート証明書を手動で追加します。
    • より広範な制御のために、グループ ポリシーまたは MMC を通じて信頼ポリシーを管理します。
    • 変更がすぐに反映されない場合は、再起動するか再度ログインしてください。Windows が信頼ストアをすぐに更新しないこともあります。

    まとめ

    試行錯誤が必要で少し複雑に見えるかもしれませんが、ルート証明書の問題を解決するのは少しの忍耐があれば可能です。通常は、不足している証明書を追加するか、設定ミスのあるポリシーを修正するだけで済みます。これらが解決すれば、信頼エラーは消え、すべてが正常に戻ります。この方法が、証明書エラーによって引き起こされる終わりのない頭痛の種から誰かを救う助けになれば幸いです。幸運を祈ります！