事象
Active Directory 証明機関で下位証明機関を構成した後、ルート証明機関から手動で発行した下位の CA 証明書をインストールする時に、以下のメッセージが表示されて起動に失敗することがあります。
証明書チェーンを構成するための CN=”<ルート証明機関の CA 名>” の証明書が見つかりません。証明書をインストールしますか?証明書チェーンを信頼されたルート機関として構成できませんでした。0x800b010a (-2146762486 CERT_E_CHAINING)
原因
Active Directory 証明書サービスを起動する時に、CA 証明書の失効確認や信頼チェーンの検証を行っています。
下位証明機関の CA 証明書をインストールする時に、発行元のルート証明機関のルート証明書を信頼しておらず、正常に信頼チェーンを構成できないと CA 証明書のインストールに失敗します。
解決策
下位証明機関の CA 証明書の信頼チェーンを構成するためには、CA 証明書の発行元のルート証明機関のルート証明書を信頼する必要があります。
エラーを解消するには、以下の手順を実施します。
1) 構築したスタンドアロンのルート CA の証明機関に管理者権限をもつユーザーでログオンします。
2) スタートボタンより、[Windows 管理ツール] – [証明機関] を開きます。
3) 管理ツールの左ペインにて、[証明機関(ローカル)] – [<CA 名>] を右クリックして [プロパティ] をクリックします。
4) プロパティ画面の [全般] タブにて、[証明書を表示] をクリックします。
5) CA 証明書が開いたら、[詳細] タブを選択して [ファイルにコピー] を選択します。
6) [証明書のエクスポート ウィザードの開始] にて、[次へ] をクリックします。
7) [エクスポート ファイルの形式] にて、”DER encoded binary X. 509 (.CER)” を選択して [次へ] を選択します。
8) [エクスポートするファイル] にて、[ファイル名] の項目にて [参照] を選択して CA 証明書のエクスポート ファイルの保存先とファイル名を指定して [次へ] をクリックします。
9) [証明書のエクスポート ウィザードの完了] にて、[完了] をクリックします。
10) [証明書のエクスポート ウィザード] にて、”正しくエクスポートされました。” と表示されたことを確認したら [OK] をクリックします。
11) 下位証明機関に管理者権限をもつユーザーでログオンします。
12) ルート証明書のエクスポート ファイルを任意のフォルダを保存します。
13) ルート証明書の [全般] タブにて、[証明書のインストール] をクリックします。
14) [証明書のインポート ウィザードの開始] にて、[保存場所] に [ローカル コンピューター] を選択して [次へ] をクリックします。(管理者権限が必要です。)
15) [証明書ストア] にて、[証明書をすべて次のストアに配置する] を選択して [証明書ストア:] の項目にて [信頼されたルート証明機関] を選択して [次へ] をクリックします。
16) [証明書のインポート ウィザードの完了] にて、[完了] をクリックします。
17) “正しくインポートされました。” と表示されたら、[OK] をクリックします。