はじめに
Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 の信頼されていない証明書の自動更新ツールについて説明します。この更新ツールは、Windows Vista および Windows 7 の既存の自動ルート更新メカニズム テクノロジを拡張し、何らかの方法で侵害されたかまたは信頼されていない証明証に信頼されていない証明書として特別なフラグを付けることができるようにします。
証明書信頼リスト (CTL) は、信頼済みエンティティによって署名されているアイテムの事前に定義されたリストです。リスト内のすべてのアイテムは、信頼済みの署名エンティティによって認証および承認されます。この更新プログラムは、この既存の機能を拡張し、既知の信頼されていない証明書の公開キーまたは証明ハッシュを含む CTL を使用して、それらの証明書を信頼されていない証明書ストアに追加します。この更新プログラムをインストールすると、信頼されていない証明書をすばやく自動的に更新できるようになります。
接続されていないシステムを使用しているユーザーは、この機能改善のメリットを得ることができません。それらのお客様は、引き続きルート証明書の更新が利用可能になったときにそれらの更新をインストールする必要があります。「詳細」を参照してください。
この更新プログラム一部として、Windows Update にアクセスして信頼されていない CTL と信頼済み CTL をダウンロードするための URL が変更されました。これらの URL をファイアウォールに例外としてハードコードしている場合、この変更のために問題が発生する可能性があります。
以下に新しい URL を示します。
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
詳細
システムを切断したユーザーがこの更新プログラムをインストールすることができます。しかし、それらのユーザーは更新プログラムの利点を得ることができません。事実、この更新プログラムをインストールすると、サーバーを再起動した直後にサービスの起動に失敗することがあります。サービスの起動時に証明書確認タスクを実行するサービスでは、Windows Update から信頼済みおよび信頼されていない CTL をネットワークから取得するときの遅延が長くなることがあります。
Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 を搭載したシステムで、信頼されていない証明書の自動更新機能を使用している場合 (つまり KB 2677070 または KB 2813430 が既にインストールされている場合)、詳細については、このセクションの残りの部分とマイクロソフト サポート技術情報 2813430 を参照してください。これらのシステムは自動的に保護されるため、お客様は作業を行う必要はありません。
システムがインターネットに接続されていないか Windows Update がファイアウォール ルールでブロックされているためにシステムが Windows Update にアクセスできない場合は、サービスが起動手順を続行できる前にネットワークからの取得がタイムアウトになります。場合によっては、このネットワークからの取得のタイムアウトが 30 秒間のサービス起動タイムアウトより長いことがあります。サービスが 30 秒後に起動の完了報告できない場合は、サービス コントロール マネージャー (SCM) がサービスを停止します。
切断されたシステムでのこの更新プログラムのインストールを回避できない場合、信頼済みおよび信頼されていない CTL のネットワークからの取得を無効にすることができます。これを行うには、グループ ポリシー設定を使用して自動ルート更新を無効にします。グループ ポリシー設定を使用して自動ルート更新を無効にするには、次の手順に従います。
-
ローカル グループ ポリシー エディターでグループ ポリシーを作成するか既存のグループ ポリシーを変更します。
-
ローカル グループ ポリシー エディターで、[コンピューターの構成] ノードの [ポリシー] をダブルクリックします。
-
[Windows の設定]、[セキュリティの設定]、[公開キーのポリシー] の順にダブルクリックします。
-
詳細ウィンドウで、[証明書パス検証の設定] をダブルクリックします。
-
[ネットワークの取得] タブをクリックし、[これらのポリシーの設定を定義する] を選択して、[Microsoft ルート証明書プログラムで証明書を自動更新する (推奨)] チェック ボックスをオフにします。
-
[OK] をクリックし、ローカル グループ ポリシー エディターを終了します。
この変更を加えた後に、ポリシーが適用されるシステムの自動ルート更新が無効になります。このポリシーは、インターネットにアクセスしないシステムまたはファイアウォール ルールのために Windows Update にアクセスできないシステムにのみ適用することをお勧めします。
自動ルート更新が無効になっている場合、管理者は Windows によって信頼されるルート証明書を手動で管理する必要があります。信頼されるルート証明書は、グループ ポリシーを使用して Windows を搭載しているコンピューターに配布することができます。Windows によって信頼されるルート証明書の管理方法については、次のマイクロソフト Web サイトを参照してください。
http://technet.microsoft.com/ja-jp/library/cc754841.aspxWindows 証明書の信頼性の検証の詳細については、次のマイクロソフト Web サイトを参照してください。
証明書の信頼性の検証
証明書信頼リストの概要Windows ルート証明書プログラムの詳細については、以下のマイクロソフト サポート技術情報番号をクリックしてください。
931125Windows ルート証明書プログラムのメンバー
更新プログラムの置き換えに関する情報
この更新プログラムを適用すると、以下の更新プログラムが置き換えられます。
2603469 Windows Server 2008 または Windows Server 2008 R2 でシステムの状態のバックアップに CA 秘密キーが含まれない
ダウンロード情報
下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
サポートされているすべてのバージョンの Windows Vista (x86 ベース)
サポートされているすべてのバージョンの Windows Vista (x64 ベース)
サポートされているすべてのバージョンの Windows Server 2008 (x86 ベース)
サポートされているすべてのバージョンの Windows Server 2008 (x64 ベース)
サポートされているすべてのバージョンの Windows Server 2008 (IA-64 ベース)
サポートされているすべてのバージョンの Windows 7 (x86 ベース)
サポートされているすべてのバージョンの Windows 7 (x64 ベース)
サポートされているすべてのバージョンの Windows Server 2008 R2 (x64 ベース)
サポートされているすべてのバージョンの Windows Server 2008 R2 (IA-64 ベース)
リリース日: (2012 年 6 月 12 日)
マイクロソフトのサポート ファイルをダウンロードする方法の詳細については、以下のサポート技術情報番号をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。
ファイル情報
この更新プログラムで提供されるファイルの一覧については、この更新プログラム 2677070 のファイル情報をダウンロードしてください。
