ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

Windows10 同じルート証明書が複数、2つインストールされた場合のSSL通信への影響

同じルート証明書が2つインストールされた場合のSSL通信への影響について気になったので調査してみました。

 

というのも、ルート証明書の手動インポートをしようと考えたのですが、オフライン環境なのですが、Windows10の端末に入っているルート証明書がバラバラで、端末台数が多い場合、すべての端末のルート証明書をチェックして差分を比較しながらGPOで展開するのは大変だと考えたためです。

 

この事についてはフォーラムにも質問がありましたので、共有します。

 

こちら、

Internet Explorerで、同じルート証明書が2重登録になってしまった場合の問題点

 

質問文が長いので一部抜粋となりますが、ルート証明書が重複した場合の影響についての問い合わせになります。

 

会社でトレンドマイクロ社のウイルスバスターCorp11.0を使用しています。

ウイルスバスターCorp11.0の最新パッチ6583をクライアントPCへ配信、アップデート対応の為に、各クライアントPCへルート証明書のインストールが必要になりました。

トレンドマイクロ社よりActive Directory のグループポリシーの機能を使用して、

ルート証明書を各クライアントPCへ一括配信するという方法を教えて頂き、1台テストしてみました。

配信はうまくいった様なのですが、InternetExplorerの証明書を確認したところ、

信頼されたルート証明機関へインストールする5つのルート証明書は、既にインストールされていた様で2重登録になっていました。

2重登録になっているルート証明書の違いは、Active Directoryで配信した方のフレンドリ名が<なし>になっている所です。

トレンドマイクロ社にルート証明書二重登録に関して問い合わせをしたのですが、

「お客様には大変恐れ入りますが、ルート証明書につきましては

基本的にOS側の動作となるため、二重登録時の動作については

マイクロソフト社にお問い合わせ頂きたく存じます。

ルート証明書は同じものが2重登録になっても、特に問題ないものなのでしょうか。

 

ちなみに私も過去の経験で、すでにインストールされているルート証明書をGPOで配信した場合に、重複しているからはじかれるのではなく、複数入ることは確認しています。

 

 

そしてその回答です。

 

この件ですが、証明書に関して、ルート証明書・中間証明書等がカブってしまった場合ですが、とくに問題はありません。ルート証明書類は、SSLで提示されたサーバー証明書の「身元保証」として参照されますが、対象ストアにあるすべての内容から、適切なものが選択されるためです(厳密な動作説明資料は見たことがないですが、動作内容からこのように理解しています)。

適切なもの(同じもの)が2つあっても3つあっても、そのうちのどれかを選択することになるので、通信に齟齬は生じない理解です。

追記:ちなみに、証明書ストアは一般には「論理証明書ストア」で管理されますが、手動インポート(レジストリ)のほか、GPOによるインポート(グループポリシー)を使い分けるための「物理証明書ストア」も存在します。物理ストアが分かれているため、同一の証明書をひとつの論理ストアに同居させることができる、というわけです。

 

実際にルート証明書が重複されてしまった環境での動作確認ですが、確かに問題は発生しませんでした。ちなみに今回のルート証明書の話とは関係がないですが、マイクロソフトの無線設定の場合、コンピューター証明書が複数あると問題が発生することがありましたが、最近の設定では、証明書を選べるようなっているようです。

 

ルート証明書を重複してインポートすることがある場合は、参考になると思います。

 

新登場 Fire TV Stick - Alexa対応音声認識リモコン付属 | ストリーミングメディアプレーヤー