2016年7月25日月曜日

ルート証明書がない!? | ライタス株式会社

ちょっと前にワイルドカード証明書の紹介をしましたが、お客様のところで、「サーバー証明書が信頼できない」というありがちなエラーに遭遇しました。
最初は、WEBサーバーに中間証明書をインストールし忘れたのかなと思ったのですが、よく見るとちゃんとインストールされています。
現象が出ているクライアントPCの証明機関を確認したら、確かに信頼されたルート証明機関の一覧にルート証明書が存在していません。
なんでだー と悩んでも、ぐぐる先生に聞いても原因が分かりません。

クライアントにルート証明書が入っていないことには、いくらWEBサーバー側で対応しようとしても、理屈的に無理なわけで・・・(まじ、どうしようもないじゃん!?ふざけんなよ!?とか愚痴りたい)

お手上げだと思って、先輩に相談したところ、以下のサイトを発見してくれました。
Windows PKI - その2 - ルート証明書更新プログラムとは?
http://blogs.technet.com/b/jpntsblog/archive/2009/12/24/windows-pki-2.aspx
上記サイトを簡単にまとめると以下のようになります。
  • ルート証明書はWindowsUpdateで配信される(ルート証明書更新プログラム)
  • ルート証明書更新プログラムを有効にしておけば、勝手にダウンロードしてくれる(もちろん無効にしていれば、勝手にはダウンロードされない)
  • Windows Vista以降は、Cryptographic Serviceとして動作する
  • Windows Vista以降は、OSインストール時にルート証明書は、必要最小限しか持っていない
  • この機能は、グループポリシーで制御可能

手元の環境で、同様の症状が出ているPCがあったので、ルート証明書更新プログラムが有効になっているかどうかを調べたところ、無効にされていました。
どのタイミングで無効になるのかはさっぱり分かりませんが、なにかあるのかも知れません。

とりあえず解決かな・・・と思っていますが、これから客先の環境を確認してこようと思います。
たぶん、WindowsUpdateが制限されていんじゃないかなとにらんでいます。

ちなみに、rootsupd.exeを使うという手もあるようです。確認はしていませんが、有効そうです。
https://repository.secomtrust.net/rootupdate/index.html




本記事は、弊社代表のブログ記事なんでもIT屋の宿命からの記事を加筆修正したものです。

0 件のコメント:

コメントを投稿