none
証明書のインポートについて RRS feed

  • 質問

  • 【環境】
     Windows 10

    指定のルート証明書を各ユーザにインポートする必要あり、
    証明書の管理は元々想定されていなかった関係上、直ぐにActive Directoryを触ることが出来ない状況です。
    全40台程の端末にローカルが1ユーザ・ドメインユーザが9ユーザ程あり、人海戦術以外の方法を模索しています。

    ご教示頂けますと幸いです。
    宜しくお願いいたします。

    2019年1月28日 1:44

回答

  • チャブーンです。

    この件ですが、ルート証明書に関しては「各ユーザー」にインポートする必要はありません。コンピューター単位で1回インポートすれば、全ユーザーが共通利用できます。

    MMCスナップインの[証明書]-[コンピューターアカウント]-[ローカルコンピューター]で、ルート証明書を「信頼されたルート証明機関」にインポートすればよいと思います。MMCスナップインを使いたくない場合、PowerShellでインポートコマンドレットを使うといいと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク su27k 2019年1月29日 0:02
    2019年1月28日 2:51
  • 補足ですが、証明書のインポートは

    • 証明書ファイルをダブルクリックで開く
    • インターネット オプションのコントロールパネルから [コンテンツ] - [証明書]
    • MMC スナップインの [証明書] (チャブーンさんの書かれている方法)

    がありますが、上二つはユーザー単位のインポートなので、証明書を必要とするすべてのユーザーで実施する必要があります。そのため必ず3番目の方法でコンピューター単位でのインポートしましょう。

    40台というのが微妙ですが、さらに自動化するなら

    https://docs.microsoft.com/en-us/powershell/module/pkiclient/import-certificate?view=win10-ps

    などを参考にコマンド、スクリプト化するという手も考えられます。


    Hebikuzure aka Murachi Akira



    2019年1月28日 5:59
    モデレータ

すべての返信

  • チャブーンです。

    この件ですが、ルート証明書に関しては「各ユーザー」にインポートする必要はありません。コンピューター単位で1回インポートすれば、全ユーザーが共通利用できます。

    MMCスナップインの[証明書]-[コンピューターアカウント]-[ローカルコンピューター]で、ルート証明書を「信頼されたルート証明機関」にインポートすればよいと思います。MMCスナップインを使いたくない場合、PowerShellでインポートコマンドレットを使うといいと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク su27k 2019年1月29日 0:02
    2019年1月28日 2:51
  • 補足ですが、証明書のインポートは

    • 証明書ファイルをダブルクリックで開く
    • インターネット オプションのコントロールパネルから [コンテンツ] - [証明書]
    • MMC スナップインの [証明書] (チャブーンさんの書かれている方法)

    がありますが、上二つはユーザー単位のインポートなので、証明書を必要とするすべてのユーザーで実施する必要があります。そのため必ず3番目の方法でコンピューター単位でのインポートしましょう。

    40台というのが微妙ですが、さらに自動化するなら

    https://docs.microsoft.com/en-us/powershell/module/pkiclient/import-certificate?view=win10-ps

    などを参考にコマンド、スクリプト化するという手も考えられます。


    Hebikuzure aka Murachi Akira



    2019年1月28日 5:59
    モデレータ
  • チャブーン さん
    Hebikuzure aka Murachi Akira さん

    ご返信ありがとうございます。
    MMC スナップインで試して上手くいきました。ありがとうございます。
    その上で2点質問なのですが、
    ① MMCスナップインを使いたくない場合とは?
    こちらは気持ち的な問題で使いたくないと言う事でしょうか、それともMMCスナップインのリスクを考慮してでしょうか。

    ② 新規ユーザが追加となった場合はどうなる?
    この場合、初回ログイン時にどのような今回の証明書は適用されているのでしょうか。

    以上となります。
    宜しくお願いいたします。

    2019年1月29日 0:14
  • チャブーンです。

    内容にご納得いただけた、のならよかったです。

    こちらは気持ち的な問題で使いたくないと言う事でしょうか、それともMMCスナップインのリスクを考慮してでしょうか。

    MMCを利用するリスクは一切ありません。単に言い方の問題ですが、経験上「質問内容の『要件変更』は認めません!同僚|お客様がそう望んでおられるからです。」という文脈での問い合わせが多数のため、こういう言い方になってしまうのかもしれません。

    この場合、初回ログイン時にどのような今回の証明書は適用されているのでしょうか。

    コンピューター(証明書ストア)にインポートした場合、ログオンした全ユーザーに透過的に適用されます。もちろん新規ユーザーも例外ではありません。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年1月29日 1:27
  • チャブーンさんも書かれていますが、私からも。

    MMCスナップインを使いたくない場合」 > 運用管理上できるだけ GUI 操作ではなくコマンド/スクリプトで実行したいという場合があると思います。作業の一般化(手順書化)や自動化を考える場合や、証跡としてのログを取りたい場合などです。


    Hebikuzure aka Murachi Akira

    2019年1月29日 2:49
    モデレータ
  • チャブーン さん
    Hebikuzure aka Murachi Akira さん

    返信が大変遅くなりました。
    ご回答ありがとうございます。大変参考になりました。


    • 編集済み su27k 2019年3月4日 6:33
    2019年2月28日 1:24