管理者が、接続されていない Windows 環境で信頼されている CTL と許可されていない CTL を更新できるようにする更新プログラムについて

適用対象: Windows Vista Service Pack 2Windows Vista BusinessWindows Vista Business 64-bit Edition 詳細

概要


このソフトウェア更新プログラムを適用すると、Windows の次の機能が強化されます。
  • 管理者は、信頼されている CTL (証明書信頼リスト) と許可されていない CTL の両方に対して自動更新機能を使用するようにドメインに参加しているコンピューターを構成できるようになります。コンピューターは、Windows Update サイトにアクセスしなくとも自動更新機能を使用できます。
  • 管理者は、自動更新機能を使用して信頼されている CTL と許可されていない CTL を個別に選択するようにドメインに参加しているコンピューターを構成できます。

  • 管理者は、Microsoft ルート証明書プログラムで、ルート証明機関 (CA) のセットを調べることができるようになります。
これらの変更および機能強化の詳細については、次のマイクロソフト Web サイトを参照してください。

必要な知識


この資料は、グループ ポリシー、サードパーティ ルート更新プログラム、信頼されていない証明書、および許可されていないリストに関する基本的な知識を持っている公開キー インフラストラクチャ (PKI) 管理者を対象としています。この資料は、グループ ポリシー更新ユーティリティを使用して、単純な ADM/ADMX ファイルを編集し、ポリシーを展開できる PKI 管理者も対象としています。ADMX ファイルの使用方法の詳細については、グループ ポリシー管理での ADMX ファイルの使用に関するステップ バイ ステップ ガイドを参照してください。

背景


Windows ルート証明書プログラムを使用すると、Windows で、信頼されているルート証明書を自動的に配布することができます。Windows ルート証明書プログラムのメンバー リストの詳細については、次のマイクロソフト Web サイトを参照してください。信頼されているルート証明書は、次の方法で配布できます。


  • クライアントは、自動更新メカニズムを使用して信頼されているルート証明書をダウンロードまたは更新することができます。信頼されているルート証明書の一覧は、Windows Update サーバー上の証明書信頼リスト (信頼されている CTL) に保存されています。
ルート証明書の配布方法の詳細については、次のマイクロソフト Web サイトを参照してください。信頼されていないルート証明書 (不正であることが一般的に知られている証明書) は、次の方法で配布することができます。


  • クライアントは、自動更新メカニズムを使用して信頼されていないルート証明書をダウンロードまたは更新することができます。信頼されていないルート証明書の一覧は、Windows Update サーバー上の CTL (信頼されていない CTL) に保存されています。信頼されていないルート証明書の自動ダウンロードの詳細については、次のマイクロソフト Web サイトを参照してください。
注: 信頼されているルート証明書と信頼されていないルート証明書の自動更新メカニズムは同じです。同じレジストリ設定を使用して、両方の種類の証明書の自動更新メカニズムを無効にすることができます。詳細については、インターネット経由の情報の流れを防ぐためのルート証明書の更新機能の制御を参照してください。

信頼されているルート証明書の独自のセットを管理している場合は、信頼されている CTL の自動更新メカニズムを無効にする必要があります。

既知の問題


このソフトウェア更新プログラムをインストールする前に、証明書を管理するときに次のいずれかの問題が発生することがあります。
  • 接続されていない環境で信頼されているルート証明書または信頼されていないルート証明書を更新するには、この資料の「背景」で説明されている IEXPRESS パッケージを使用する必要があります。ただし、IEXPRESS パッケージは手動でインストールする必要があります。さらに、マイクロソフトはこのパッケージを CTL の配布と同時に提供するために努力していますが、IEXPRESS パッケージが少々遅れる場合があります。

    注: 接続されていない環境とは、次の条件を満たす環境です。
    • Windows Update への直接アクセスがブロックされている。
    • 信頼されている CTL と信頼されていない CTL の両方の自動更新メカニズムが無効になっている。
  • 信頼されている CTL と信頼されていない CTL の自動更新メカニズムを個別に無効にすることはできません。具体的には、信頼されている CTL と信頼されていない CTL の両方の自動更新メカニズムを無効にすることのみ可能です。

    注: 信頼されているルート証明書の独自の一覧を管理している管理者は、信頼されている CTL の自動更新サービスを無効にすることをお勧めします。ただし、信頼されていない CTL の自動更新サービスを無効にすることはお勧めしません。
  • 信頼されているルート証明書の独自の一覧を管理しているユーザーが、ルート プログラムで簡単にルート証明書を表示してどの証明書が信頼されているかを確認する方法はありません。

解決方法


この新しいソフトウェア更新プログラムには、この資料の「問題の説明」に記載されている問題を解決する以下の修正プログラム含まれています。
  • このソフトウェア更新プログラムは、接続されていない環境で自動更新メカニズムを使用できるようにする次の機能を Windows に追加します。
    1. 新しいレジストリの設定: このレジストリ設定を使用して、Windows Update から組織内の共有されている場所に、信頼されている CTL および信頼されていない CTL をダウンロードするための URL の場所を変更することができます。このレジストリ設定では FILE スキーマと HTTP スキーマの両方がサポートされます。このレジストリ設定の詳細については、この資料の「レジストリ キー」を参照してください。

      注: URL の場所をローカルの共有フォルダーに変更した場合、ローカルの共有フォルダーと Windows Update フォルダーを同期する必要があります。
    2. Certutil ツールの新しいオプションのセット: これらのオプションはフォルダーを同期するための追加の方法を提供します。これらのオプションの詳細については、この資料の「Certutil の新しいコマンド」を参照してください。
  • このソフトウェア更新プログラムは、信頼されている CTL と信頼されていない CTL の自動更新メカニズムを切り離します。たとえば、この更新プログラムを適用した後で、レジストリ キーを使用して、信頼されているルート証明書の自動更新メカニズムのみを無効にすることができます。レジストリ設定の詳細については、この資料の「レジストリ キー」を参照してください。
  • このソフトウェア更新プログラムが提供する新しいツールを使用すると、管理者が、Microsoft ルート証明書プログラムで信頼されているルート証明書のセットを表示することができます。このツールは、エンタープライズ環境用の信頼されているルート証明書のセットを管理している管理者を対象としています。管理者はこのツールを使用して、信頼されているルート証明書のセットの選択、シリアル化された証明書ストアへの証明書のエクスポート、グループ ポリシーを使用した証明書の配布を行うことができます。詳細については、この資料の「Certutil の新しいコマンド」を参照してください。

更新プログラムの情報

下記のファイルは、Microsoft ダウンロード センターからダウンロードできます。


サポートされているすべてのバージョンの Windows Vista (x86 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows Vista (x64 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows Server 2008 (x86 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows Server 2008 (x64 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows Server 2008 (IA-64 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows 7 (x86 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows 7 (x64 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows Embedded Standard 7 (x86 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows Embedded Standard 7for x64-based Systems (x64 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows Server 2008 R2 (x64 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows Server 2008 R2 (IA-64 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows 8 (x86 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows 8 (x64 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows Server 2012

ダウンロード パッケージ
リリース日: 2011 年 6 月 11 日

マイクロソフトのサポート ファイルをダウンロードする方法の詳細については、以下のサポート技術情報番号をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

再起動の必要性

この修正プログラムの適用後、コンピューターを再起動する必要があります。

修正プログラムの置き換えに関する情報

この修正プログラムにより、修正プログラム 2661254 が置き換えられます。



ファイル情報

この修正プログラムのグローバル版では、次の表に示す各属性を持つファイル群がインストールされます。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。お使いのコンピューターでは、これらのファイルの日付と時刻は夏時間 (DST) 調整済みのローカル時刻で表示されます。さらに、ファイルに対して特定の操作を実行すると、日時が変更される場合があります。

変更のテクニカル リファレンス


Certutil の新しいコマンド

SyncWithWU
このコマンドは、保存先ディレクトリと Windows Update サイトを同期するために使用します。コマンドの構文は次のとおりです:
CertUtil [Options] -syncWithWU  保存先ディレクトリ 

注: 保存先ディレクトリはファイルのコピー先のフォルダーです。このコマンドを実行すると、次のファイルが Windows Update からダウンロードされます。
  • Authrootstl.cab: サードパーティ ルート証明書の CTL が含まれています。
  • Disallowedcertstl.cab: 許可されていない証明書の CTL が含まれています。
  • Disallowedcert.sst: 許可されていない証明書が含まれています。
  • Thumbprint.crt: サードパーティ ルート証明書
たとえば、次のコマンドを実行して保存先ディレクトリと Windows Update サイトを同期することができます。
CertUtil -syncWithWU \\コンピューター名\共有名\保存先ディレクトリ 
GenerateSSTFromWU
このコマンドは、Windows Update サイトから .sst ファイルを生成するために使用します。コマンドの構文は次のとおりです:
CertUtil [Options] -generateSSTFromWU SSTFile 
注: SSTFile は作成される .sst ファイルの名前です。生成される .sst ファイルには、Windows Update からダウンロードされるサードパーティ ルート証明書が含まれています。

たとえば、次のコマンドを実行して Windows Update サイトから .sst ファイルを生成することができます。
CertUtil –generateSSTFromWU Rootstore.sst 

レジストリ キー

この更新プログラムでは次のレジストリ キーが導入されます:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate 信頼されている CTL の自動更新を無効にするにはこのレジストリ値を 1 に設定します。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdate許可されていない CTL の自動更新を有効にするにはこのレジストリを 1 に設定します。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrlこのレジストリ キーは CTL を取得するための共有パスを構成します。