特定のルートCA証明書をWindowsで無効にする方法

シェアする

Voiced by Amazon Polly

GPKI絡みで、特定のルート認証局を信頼したくないという人がいるかもしれません。
ルート認証局はデフォルトで組み込まれていますが、その認証局を信頼するかの最終的な決定権はユーザーにあります。ユーザー各個人で、当該認証局が信頼できないと思ったら、自分の意志で無効にすることができます。

広告



ルートCAを無効化すると?

無効化したルート認証局から発行された証明書を使用しているサイトがすべて閲覧不可能となります。当該証明書はすべて自己署名証明書、いわゆるオレオレ証明書としてみなされます。

なお、当該ルートCAから発行された証明書に依存するプログラムに関しても動作しなくなる場合があります。これはWindowsも含むため、その認証局を信頼したくない場合以外はそのままにしておくべきです。
不祥事を起こした認証局に関しては、基本的にベンダーが削除するため、緊急性が必要な場合を除きユーザー側で対処する必要はありません。

ここでは、GPKI(apca2)を無効化し、当該ルートCAから発行された証明書を使用している官報が閲覧不可能なことを確認しています。

ルートCAを無効にする方法

WindowsでルートCA証明書を無効にするには、次の操作を行います。

1. Microsoft Management Console(MMC)を開きます。


スタートボタンから、mmcと検索します。管理者権限で実行する必要があります。

2. スナップインを追加します。


FileからAdd/Remove Snap-inを選択します。

Certificatesを選択し、Addをクリックします。

Computer accountを選択します。

Local computerを選択します。

Certificates(Local Computer)がSelected snap-insに追加されたことを確認して、OKをクリックします。

3. ルートCA証明書を無効にします


Console Root→Certificates(Local Computer)→Trusted Root Certification Authorities→Certificatesとツリーを辿ります。

当該証明書を右クリックし、Propertiesを選択します。

Disable all purposes for this certificateにチェックを入れ、OKをクリックします。
その後、Microsoft Management Consoleも閉じます。Snap-inを保存するかどうかは、次にこのMicrosoft Management Consoleの状態を再現したいかどうかなので、任意です。

4. ルートCA証明書を使った通信を停止します。

ルートCA証明書を無効にしても、直ちに当該証明書を使用した通信は停止しません。
そのような通信を停止するには、コンピューターを再起動します。

コンピューターを再起動せずに停止させるには、次の操作を行います。

Control PanelからInternet Propertiesを開き、Contentタブを開きます。
Clear SSL stateをクリックして、SSLキャッシュを削除します。

The SSL cache was successfully cleared.と表示されれば、対処は完了です。

正常に操作ができていれば、当該ルートCAから発行された証明書を使用した暗号化通信が不可能となっていることを確認できるはずです。