SSLならセクティゴ・コモドのEV・企業・ドメイン認証

Windowsサーバーをご利用のお客様で、提供されているZIP内の証明書をサーバーにすべてインポートしているにもかかわらず、ウェブサイトへの接続時に「信頼できない接続」エラーになってしまうことがまれにあります。

この問題はデスクトップPCよりも古いモバイル端末でよく見られます。

この問題の原因と解決方法をただしく理解するために、WindowsサーバーがSSL証明書をどのように扱うかについて、詳しく説明します。

基本知識として

サーバーはSSLハンドシェイク中にルート証明書を返しません

閲覧者のクライアント端末からルート証明書は展開されます

そして最短の階層構造で証明書チェーンを構築する

この3点を覚えておいてください。



SSL証明書を例にとって、この問題を説明します Sectigo証明書をはじめあらゆる公開認証局は、複数の異なる信頼チェーンの構成で証明書を提供しています。

第1優先チェーン	最新のルート証明書	この最新のルート証明書は、多くのアップデートができないモバイル端末の信頼済みストアが更新されないために含まれておらず、おなじく古いバージョンのデスクトップブラウザでも欠落している可能性があります。
第2優先チェーン	安定して普及されたルート証明書	現行の多くの端末むけのルート証明書
第3優先チェーン	古いレガシー端末機器むけ	アップデートできない端末でも動作します

Windowsに証明書をインストールした後、サーバー上の信頼されたルート証明機関に最新のルート証明書 Sectigo Public Server Authentication Root R46ルート証明書が含まれている場合があります。一部の古いデバイスでは、このルート証明書がプリインストールされてない可能性があり、この問題の回避策としては、クロス署名された同名のSectigo Public Server Authentication Root R36証明書と信頼されているUSERTrust RSA Certification Authorityルートをインストールすることにより、新しいデバイスと古いデバイスの両方で証明書チェーンが適切に信頼されます。

しかし、Windowsサーバーの挙動としてより短い証明書チェーンを使用することを優先するため、クロス署名された証明書が使用されない場合があります。これを軽減するためには、最新のルート証明書であるSectigo Public Server Authentication Root R46証明書をあえて無効にする必要がでてきます。

ルート証明書は単に削除しても再起動時などに復活してしまう
サーバ機をクライアントとして利用するケースはまれで少なく
クライアントとして利用しても最新のルート証明書はなくても代替ルートが応答する
ため安心して無効にしていただいても問題ありません

問題を解決のために、レガシー端末向けに展開されるべき適切な証明書階層チェーンを妨げているルート証明書の使用を無効にする必要があります。
以下の手順に従ってください。


mmcと入力し、OKをクリックしてMicrosoft管理コンソールを開きます。管理者としてログインしていることを確認してください。

[ファイル]をクリックし、[スナップインの追加と削除]オプションを選択します。

[証明書」を選択し、「追加」OK をクリックします。

[コンピュータアカウント]を選択し、[次へ]をクリックします。

[ローカルコンピュータ]ラジオボタンを選択し、[完了]をクリックします。

これにより証明書マネージャが開き、信頼されたストア(Windowsサーバに統合されているルート証明書と中間証明書)に追加された証明書を確認することができます。 Trusted Root Certification Authorities」ストアを展開し、「Certificates」フォルダをクリックします。サーバーにインポートされたすべてのルート証明書がここに表示されます。目的の証明書もここにあります。
必要な証明書を右クリックし、プロパティをクリックします。
この証明書のすべての目的を無効にする」のラジオボタンをオンにして、「適用」と「OK」をクリックする。