すべてのWindowsバージョンには、Microsoft webサイトからルート証明書を自動的に更新するためのビ Microsoft信頼されたルート証明書プログラムの一部として、MSFTは、Windowsクライアントとデバイスの証明書のリストをオンラインリポジトリに維持し、公開します。 証明チェーン内の検証済み証明書がこのプログラムに参加するルートCAを参照している場合、システムはこのルート証明書をWindows Updateサーバーから自動的にダ

Windowsは、週に1回、信頼されたルート証明書リスト(CTL)の更新を要求します。 WindowsがWindows Updateディレクトリに直接アクセスできない場合、システムはルート証明書を更新できないため、ユーザーがwebサイトを閲覧するときに問題が発生する可能性があります(信頼されていないCAによって署名されたSSL証明書–「Chrome SSLエラー:このサイトは安全な接続を提供できません」に関する記事を参照してください)。

この記事では、インターネットに直接接続せずに、分離されたネットワークまたはコンピュータ/サーバー上のTrustedRootCAのルート証明書のリストを手動で更新する方法

Windows10で信頼されたルート証明書を管理する

Windowsコンピュータのルート証明書のリストを表示するにはどうすればよいですか？

1. Windows10/8.1/7/Windows Serverを実行しているコンピューターのルート証明書ストアを開くには、mmcを起動します。exeコンソール;
2. ファイルを選択します->スナップインを追加/削除し、スナップインのリストで証明書（certmgr）を選択します->追加;
3. ローカルコンピュータアカウントの証明書を管理することを選択します;
4. Next->OK->OK;
5. 証明書ノードを展開します->信頼されたルート証明機関ストア。 このセクションには、コンピュータ上の信頼されたルート証明書の一覧が含まれています。PowerShellを使用して、有効期限のある信頼されたルート証明書のリストを取得することもできます。

   Get-Childitem cert:\LocalMachine\root |format-list

   期限切れの証明書、または次の30日間で有効期限が切れる証明書を一覧表示することができます:mmcコンソールでは、証明書に関する情報を表示したり、信頼できる証明書から削除したりできます。

   セキュリティ上の理由から、Sigcheckツールを使用して、コンピュータの証明書ストアで疑わしい証明書や失効した証明書を定期的に確認することをお勧

   エクスポート/インポート機能を使用して、Windowsコンピュータ間でルート証明書ファイルを手動で転送できます。

   1. 任意の証明書をaにエクスポートできます。CERファイルをクリックしてすべてのタスク->Export;
   2. この証明書を別のコンピュータにインポートするには、すべてのタスク->Importオプションを使用します。

   Rootsupd.exeユーティリティ

   Windows XPでは、rootsupd。exeユーティリティは、コンピュータのルート証明書を更新するために使用されました。 その中のルート証明書と失効した証明書のリストは定期的に更新されました。 このユーティリティは、別の更新KB931125(ルート証明書の更新)として配布されました。 今すぐ使えるか見てみましょう。p>

   1. rootsupdをダウンロードします。次のリンクを使用してexeユーティリティhttp://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe。 現時点（2019年8月2日）では、リンクが機能しないため、Microsoftはそれを一般公開から削除することにしました。 今日、あなたはrootsupdをダウンロードすることができます。exeからkaspersky.com webサイト-http://media.kaspersky.com/utilities/CorporateUtilities/rootsupd.zip;
   2. Windowsルート証明書をインストールするには、rootsupdを実行するだけです。exeファイル。 しかし、私たちはその内容をより慎重に調べようとします。 次のコマンドを使用して、実行可能ファイルから証明書を抽出します: rootsupd.exe /c /t: C:\PS\rootsupd
   3. 証明書は、authrootsのようなSSTファイルに格納されます。sst、デルルート。sst、等。 証明書を削除/インストールするには、次のコマンドを使用します。
      updroots.exe authroots.sst
updroots.exe -d delroots.sst

   しかし、ご覧のように、これらの証明書ファイルはApril4,2013（Windows XPの公式サポートが終了するほぼ一年前）に作成されました。 したがって、それ以来、ユーティリティは更新されておらず、最新の証明書をインストールするために使用することはできません。 少し後に、私たちはupdrootsが必要になります。exeファイル。

   Certutil: Windows Updateから最新のルート証明書を取得する

   Certutilの最新バージョン。証明書を管理するためのexeツール（Windows10で利用可能）を使用すると、Windows Updateからダウンロードし、実際のルート証明書リストをSSTファイルに保存できます。

   SSTファイルを生成するには、Windows10を実行し、インターネットに直接アクセスできるコンピュータで管理者権限でこのコマンドを実行します:p>

   certutil.exe -generateSSTFromWU roots.sst

   

   その結果、ルート証明書の最新のリストを含むSSTファイルがターゲットディレクトリに表示されます。 ダブルクリックして開きます。 このファイルは、信頼されたルート証明書を含むコンテナです。ご覧のように、使い慣れた証明書管理スナップインが開き、そこから取得した証明書をエクスポートできます。 私の場合、証明書のリストには358個の項目がありました。 明らかに、証明書をエクスポートして1つずつインストールするのは合理的ではありません。

   ヒント。 個々の証明書ファイルを生成するには、コマンドcertutil -syncWithWUを使用します。 この方法で取得した証明書は、GPOを使用してWindowsクライアントに展開できます。

   SSTファイルからすべての証明書をインストールし、コンピュータ上の信頼されたルート証明書のリストに追加するには、PowerShellコマンドを使用します。

   exe（これはルートにありますsupd。前のセクションで抽出されたexeファイル）。p>

   updroots.exe roots.sst

   

   certmgrを実行します。mscスナップインを使用して、すべての証明書が信頼されたルート証明機関に追加されていることを確認します。