【Windows】証明書ストアとは?証明書の管理場所について説明!

VPN 接続時の認証や無線 LAN 接続時の認証など、様々な機能の認証に証明書が使用されています。
Windows OS の端末で利用する証明書は、”証明書ストア” と呼ばれる仕組みで管理されています。

今回は、証明書の管理場所である証明書ストアの仕組みについて紹介します。

証明書ストアとは

証明書ストアとは、Windows OS が利用する証明書を管理している場所のことです。
証明書を利用するアカウントごとに、保持している証明書は異なってきます。
そのため、アカウントごとに各自の証明書ストアが存在しています。
ユーザー アカウント、サービス アカウント、コンピューター アカウントはそれぞれ別の証明書ストアで分かれています。
具体例をあげると、user01 と user02 がいる場合、user01 と user02 は独自の証明書ストアで管理されます。

証明書ストアの開き方

証明書ストアはマイクロソフト管理コンソール(mmc)から開くことができます。
ユーザー アカウント、サービス アカウント、コンピューター アカウントの証明書ストアの開き方を紹介します。

ユーザーの証明書ストアの開き方
ログオン ユーザーの証明書ストアの開き方は以下の通りです。

確認したいユーザーで Windows 端末にログオンして作業する必要があります。

1) [ファイル名を指定して実行] を開きます。
2) certmgr.msc と入力して [OK] をクリックします。
3) 現在のログオン ユーザーの証明書ストアが確認できます。

 

サービスの証明書の開き方
サービス アカウントの証明書ストアの開き方は以下の通りです。
Windows 端末での管理者権限をもつユーザーでログオンして作業してください。

1) [ファイル名を指定して実行] を開きます。
2) mmc と入力して [OK] をクリックします。
3) メニューにて [ファイル][スナップインの追加と削除] をクリックします。
4) [利用できるスナップイン] の項目から “証明書” を選択して [追加] をクリックします。
5) [このスナップインで管理する証明書] にて、[サービス アカウント] を選択して [次へ] をクリックします。
6) [コンピューターの選択] にて “ローカル コンピューター” が選択されていることを確認して [次へ] をクリックします。
7) [サービス アカウント] の項目から、対象のサービス アカウントを選択して [完了] をクリックします。
8) [スナップインの追加と削除] にて [OK] をクリックします。

※上図の例は “Active Directory Domain Service” (NTDS) のサービス アカウントの証明書ストアです。

コンピューターの証明書の開き方
サービス アカウントの証明書ストアの開き方は以下の通りです。
Windows 端末での管理者権限をもつユーザーでログオンして作業してください。

1) [ファイル名を指定して実行] を開きます。
2) certlm.msc と入力して [OK] をクリックします。
3) コンピューター アカウントの証明書ストアが確認できます。

certlm.msc が利用できるのは、Windows 8.1 以降の OS です。
それ以前の OS の場合は、mmc の [スナップインの追加と削除] から開く必要があります。
 

証明書ストアの種類

証明書ストアには、証明書の種類ごとに分けて管理されています。
証明書にはアカウント自身の身分証明となる個人の証明書や、ルート証明書、中間証明書などがあります。
証明書の種類ごとに証明書ストアが分かれており、代表的な証明書ストアは以下の通りです。

個人
[個人] には、アカウント自身の個人の証明書が登録されています。
こちらで管理されている証明書を利用して、対象のアカウントの身分証明となる証明書です。
個人の証明書の自分自身の証明書となるので、証明書に紐づく秘密鍵も管理されています。
秘密鍵と紐づいている証明書は、アイコンの左上に鍵のマークが付与されています。

信頼されたルート証明機関
[信頼されたルート証明機関] には、信頼できるルート証明書が登録されています。
ルート証明書とは、最上位となるルート証明機関の CA 証明書のことです。
[信頼されたルート証明機関] ストアにルート証明書を登録すると、その端末ではルート証明書を信頼することになります。

中間証明書
[中間証明書] には、信頼できる中間証明書が登録されています。
中間証明書とは、中間証明機関や下位証明機関の CA 証明書のことです。
[中間証明書] ストアに中間証明書を登録すると、その端末では中間証明書を信頼することになります。
ただし、中間証明書の上位にあるルート証明書が端末上で信頼されていないと、[中間証明書] ストアに中間証明書が登録されていても、証明書チェーンを構成することはできません。

信頼されていない証明書
[信頼されていない証明書] には、信頼してはいけない証明書が登録されいます。
秘密鍵の漏洩など鍵に危害がした場合、それに紐づく証明書は信頼してはいけません。
証明機関の秘密鍵は、証明書を発行する時の署名に利用されています。
秘密鍵が漏洩した場合、悪意のある第三者が証明書を発行して悪用することができてしまいます。
そのため、信頼できない証明書は [信頼されていない証明書] に登録します。

サード パーティ ルート証明機関
Symantec や GeoTrust などのサードパーティーのルート証明機関のルート証明書が登録されています。
ここの証明書ストアは、Windows OS の仕組みで自動で入手したルート証明書が登録されます。
この自動でルート証明書を登録する仕組みを “ルート証明書更新プログラム” といいます。

 

論理ストアと物理ストア

証明書ストアには、”論理ストア”と”物理ストア”と呼ばれるストアの種類があります。

論理ストア … 証明書の種類ごとに分けたストア
物理ストア … 証明書の物理的な保存場所ごとに分けたストア

論理ストアは、証明書の種類ごとに分けたストアのことで、前の節で説明した通りに分けられています。
一方、物理ストアは、証明書の物理的な保存場所ごとに分けたストアです。
証明書の物理的な保存場所は、証明書の登録方法によって異なってきます。

論理ストア
mmc では、アカウントの論理ストアとして振り分けられた証明書ストアを表示することができます。

[個人] や [信頼されたルート証明機関] などの分類が “論理” 単位でのストアの振り分けです。

 

物理ストア
mmc では表示オプションの指定で、物理ストアを参照することができます。
論理ストアごとにそれぞれの物理ストアが存在しています。

– 物理ストアの参照手順
1) mmc のメニューより、[表示][オプション] をクリックします。
2) [表示のオプション] にある [物理証明書ストア] のチェックボックスを有効にして [OK] をクリックします。


証明書の登録方法により、保存先の物理ストアが異なります。

物理ストアは以下の通りです。

レジストリ
ユーザーが手動で登録した証明書が保存されます。

グループ ポリシー
グループ ポリシーで配布された証明書が保存されます。

エンタープライズ
構成パーティション上で公開されている証明書が保存されます。

サード パーティー
[サードパーティー ルート証明機関] の論理の証明書ストアが参照されます。

ローカル コンピューター
ユーザー アカウント、サービス アカウントの証明書ストアのみに存在します。
コンピューター アカウントの論理ストアが参照されます。
例えば、ユーザー アカウントの [信頼されたルート証明機関] の配下にある [ローカル コンピューター] は、コンピューター アカウントの [信頼されたルート証明機関] の論理ストアを参照しています。

スマート カード
スマート カードに登録されている証明書が保存されます。

論理ストアにある [証明書] には、物理ストアに登録されている各証明書の総和となります。