下位証明機関の CA 証明書のインストール時のエラー (0x800b010a)

事象

Active Directory 証明機関で下位証明機関を構成した後、ルート証明機関から手動で発行した下位の CA 証明書をインストールする時に、以下のメッセージが表示されて起動に失敗することがあります。

証明書チェーンを構成するための CN=”<ルート証明機関の CA 名>” の証明書が見つかりません。証明書をインストールしますか?証明書チェーンを信頼されたルート機関として構成できませんでした。0x800b010a (-2146762486 CERT_E_CHAINING)

 

原因

Active Directory 証明書サービスを起動する時に、CA 証明書の失効確認や信頼チェーンの検証を行っています。

下位証明機関の CA 証明書をインストールする時に、発行元のルート証明機関のルート証明書を信頼しておらず、正常に信頼チェーンを構成できないと CA 証明書のインストールに失敗します。

 

解決策

下位証明機関の CA 証明書の信頼チェーンを構成するためには、CA 証明書の発行元のルート証明機関のルート証明書を信頼する必要があります。

エラーを解消するには、以下の手順を実施します。

 

1) 構築したスタンドアロンのルート CA の証明機関に管理者権限をもつユーザーでログオンします。

2) スタートボタンより、[Windows 管理ツール] – [証明機関] を開きます。

3) 管理ツールの左ペインにて、[証明機関(ローカル)] – [<CA 名>] を右クリックして [プロパティ] をクリックします。

4) プロパティ画面の [全般] タブにて、[証明書を表示] をクリックします。

5) CA 証明書が開いたら、[詳細] タブを選択して [ファイルにコピー] を選択します。

6) [証明書のエクスポート ウィザードの開始] にて、[次へ] をクリックします。

7) [エクスポート ファイルの形式] にて、”DER encoded binary X. 509 (.CER)” を選択して [次へ] を選択します。

8) [エクスポートするファイル] にて、[ファイル名] の項目にて [参照] を選択して CA 証明書のエクスポート ファイルの保存先とファイル名を指定して [次へ] をクリックします。

9) [証明書のエクスポート ウィザードの完了] にて、[完了] をクリックします。

10) [証明書のエクスポート ウィザード] にて、”正しくエクスポートされました。” と表示されたことを確認したら [OK] をクリックします。

11) 下位証明機関に管理者権限をもつユーザーでログオンします。

12) ルート証明書のエクスポート ファイルを任意のフォルダを保存します。

13) ルート証明書の [全般] タブにて、[証明書のインストール] をクリックします。

14) [証明書のインポート ウィザードの開始] にて、[保存場所] に [ローカル コンピューター] を選択して [次へ] をクリックします。(管理者権限が必要です。)

15) [証明書ストア] にて、[証明書をすべて次のストアに配置する] を選択して [証明書ストア:] の項目にて [信頼されたルート証明機関] を選択して [次へ] をクリックします。

16) [証明書のインポート ウィザードの完了] にて、[完了] をクリックします。

17) “正しくインポートされました。” と表示されたら、[OK] をクリックします。