Windows Server 2008 以降の証明書 WEB 登録ではローカルコンピュータへのインストール処理は実行できません

現象
Windows Server 2008 以降の Active Directory 証明書サービスにおいて、証明書 Web 登録から [ローカル コンピュータの証明書ストアに証明書を格納する] のオプションは廃止されました。そのため、ユーザーは証明書 Web 登録を使用して、証明書をローカルコンピュータにインストールする処理を行うことができません。
解決方法
下記の手順で、一旦ユーザーの証明書ストアに証明書をインストールし、その証明書を秘密キー付きでエクスポートして、コンピューターの証明書ストアにインストールしなおします。

- コンピューターの証明書ストアに証明書をインストールしなおす手順
1. 証明書をインストールしたいコンピューターから Web 登録ページにアクセスします。
2. [証明書を要求する] をクリックします。
3. [証明書の要求の詳細設定を送信する] をクリックします。
4. [この CA への要求を作成し送信する] をクリックします。
5. [証明書の要求の詳細設定] 画面にて、[エクスポート可能なキーとしてマークする] のチェックボックスがオンになっていることを確認します。(エンタープライズ CA を利用している場合には、このチェックボックスをオンにできない場合があります。その際は、後述の "補足 : エンタープライズ CA の場合" の手順を実施し、予め秘密キーをエクスポート可能な証明書テンプレートを作成してください。)
6. その他にも必要な情報を入力した上で、[送信] をクリックします。
7. ポップアップ メッセージが表示される場合には、[はい] をクリックします。
8. [この証明書のインストール] をクリックします。
9. ポップアップ メッセージが表示される場合には、[はい] をクリックします。
10. "新しい証明書は正しくインストールされました" と表示されることを確認します。
11. [ファイル名を指定して実行] から "mmc" を実行します。
12. [ファイル] メニューの [スナップインの追加と削除] をクリックします。
13. [追加] をクリックします。
14. [証明書] を選択し、[追加] をクリックします。
15. [ユーザー アカウント] を選択し、[完了] をクリックします。
16. [証明書] を選択し、[追加] をクリックします。
17. [コンピュータ アカウント] を選択し、[次へ] をクリックします。
18. [ローカル コンピュータ] が選択されていることを確認し、[完了] をクリックします。
19. [閉じる] をクリックします。
20. [OK] をクリックします。
21. 左ペインのツリーを [証明書 (現在のユーザー)] – [個人] – [証明書] の順に展開します。
22. 右ペインの証明書の一覧から、インストールした証明書をダブルクリックします。
23. [詳細] タブの [ファイルにコピー] をクリックします。
24. [次へ] をクリックします。
25. [はい、秘密キーをエクスポートします] を選択し、[次へ] をクリックします。
26. [Personal Information Exchange – PKCS #12 (PFX)] が選択されていることを確認し、[次へ] をクリックします。
27. [パスワード] と [パスワードの確認入力] に任意のパスワードを入力し、[次へ] をクリックします。
28. [参照] をクリックして、PFX ファイルの保存場所を指定し、[次へ] をクリックします。
29. [完了] をクリックします。
30. "正しくエクスポートされました" というメッセージが表示されることを確認し、[OK] をクリックします。
31. [OK] をクリックします。
32. 左ペインのツリーを [証明書 (ローカル コンピュータ)] – [個人] – [証明書] の順に展開します。
33. [証明書] を右クリックし、[すべてのタスク] – [インポート] をクリックします。
34. [次へ] をクリックします。
35. [参照] をクリックし、保存した PFX ファイルを指定し、[次へ] をクリックします。
36. 手順 27 で入力したパスワードを [パスワード] に入力し、[次へ] をクリックします。
37. [証明書をすべて次のストアに配置する] が選択されていることを確認し、[証明書ストア] が "個人" になっていることを確認します。
38. [次へ] をクリックします。
39. [完了] をクリックします。
40. "正しくインポートされました" というメッセージが表示されることを確認し、[OK] をクリックします。
41. コンピューターの証明書ストアにインストールしたいサーバー証明書がインストールされていることを確認します。

- 補足 : エンタープライズ CA の場合
発行したい証明書において、秘密キーのエクスポートが禁止されている場合には、下記の手順で、証明機関において証明書テンプレートを複製し、秘密キーをエクスポートできる状態にする必要があります。

- 秘密鍵がエクスポート可能な証明書テンプレートを作成する手順
1. Active Directory 証明書サービスがインストールされたサーバーに Enterprise Admins 権限を持つユーザーでログオンします。
2. [スタート] - [管理ツール] - [証明機関] を開きます。
3. 画面左の [CA 名] - [証明書テンプレート] を右クリックし、[管理] をクリックします。
4. 画面中央に表示される証明書テンプレートの中から、インストールしたい証明書の証明書テンプレートを右クリックし、[テンプレートの複製] をクリックします。
5. [テンプレートの複製] の項目にて、[Windows Server 2003 Enterprise] を選択し、[OK] をクリックします。
6. [全般] タブにて、[テンプレートの表示名] と [テンプレート名] を設定します。
7. [要求処理] タブにて、[秘密キーのエクスポートを許可する] のチェックをオンにします。
8. [サブジェクト名] タブにて、[要求に含まれる] を選択します。(警告が表示されますが、[OK] をクリックします。)
9. [セキュリティ] にて、証明書取得を行うユーザーに以下のアクセス許可を設定します。
  * 読み取り
  * 登録

10. [適用]、[OK] の順番にクリックをしてダイアログを閉じます。
11. [証明機関] 管理ツールの [証明書テンプレート] を右クリックし、[新規作成] - [発行する証明書テンプレート] をクリックします。
12. 先に作成した証明書テンプレートを選択し、[OK] をクリックします。
13. 右ペインに、選択した証明書テンプレートが表示されていることを確認します。
詳細
- 変更の詳細
Windows Server 2003 までで利用されている  XEnroll.dll は、Windows Vista および Windows Server 2008 では新しい登録コントロールの CertEnroll.dll に置き換えられました。
これにより、ユーザーは証明書 Web 登録を使用して、管理者権限が必要な作業を実施することができないよう、実装変更されました。
この実装変更に伴って、[ローカル コンピュータの証明書ストアに証明書を格納する] のオプションは、証明書 Web 登録から廃止されています。

その他にも、下記のような実装変更が実施されています。

* スマート カード登録ステーションとも呼ばれる登録エージェント機能は、Windows Server 2008 以降の Web 登録から削除されました。Windows Vista では独自の登録エージェント機能が提供されます。Windows Server 2008 の Web 登録を使用して他のクライアントの代わりに登録を実行する必要がある場合は、Windows Vista を実行しているコンピュータを登録ステーションとして使用する必要があります。または、Web 登録がインストールされている Windows Server 2003 ベースのサーバーを登録エージェントとして使用し、Windows Server 2008 ベースの CA を介して証明書を登録することもできます。
* Web 登録ページから直接証明書要求を送信できるのは、Internet Explorer 6.x または Netscape 8.1 ブラウザのユーザーだけです。その他の Web ブラウザのユーザーも Web 登録ページを使用して登録要求を送信できますが、Web 登録ページから送信する前に、まず PKCS #10 要求を作成する必要があります。
* 証明書 Web 登録は、バージョン 3 の証明書テンプレートと共には使用できません。(このテンプレートは、Windows Server 2008 で Suite B 準拠の証明書の発行をサポートするために導入されています。)

参考 URL :
AD CS  Web 登録
http://technet.microsoft.com/ja-jp/library/cc732517(v=ws.10).aspx

- 変更にいたった経緯
Windows Server 2008 における証明書サービスにおいては、セキュリティの観点からの機能強化を設計に組み込みました。
従来の XEnroll と比較して、Certenroll においては、より強固なセキュリティを提供することができるようになりました。
この変更に伴い、証明書 Web 登録についても、ローカルコンピューターのセキュリティ コンテキストでは実行できないようにし、未知なる脅威への対策を実施しました。

なお、従来の証明書 Web 登録において、ローカルコンピューターのセキュリティ コンテキストで実行できることにより、特定のセキュリティ ホールが存在していたということは、現在までには確認されていません。
注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。
プロパティ

文書番号:2688969 - 最終更新日: 09/20/2016 10:36:00 - リビジョン: 3.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 Service Pack 2, Windows Server 2008 Standard

  • KB2688969
フィードバック