次の方法で共有

信頼されたルート証明機関の証明書ストア

  • [アーティクル]

プラグ アンド プレイ (PnP) マネージャーは、デバイスとドライバーのインストール中にドライバー署名の検証を実行します。 検証は次の場合に成功します。

  • 証明機関 (CA) は、署名の作成に使用される署名証明書を発行しました。

  • CA の対応するルート証明書は、信頼されたルート証明機関の証明書ストアにインストールされます。 そのため、信頼されたルート証明機関の証明書ストアには、Windows が信頼するすべての CA のルート証明書が含まれます。

Windows コンピューター上の信頼されたルート証明機関の証明書ストアにアクセスするには、Microsoft 管理コンソール (MMC) と証明書スナップインを使用できます。 Windows 10 以降のコンピューターの手順を次に示します。

  1. Windows 実行ダイアログを開く: Windows キー 押しながら R を押して、[実行] ダイアログを開きます。

  2. Microsoft 管理コンソール (MMC) を開きます。[実行] ダイアログに mmc を入力し、Enter キーを押します。 このコマンドを実行すると、Microsoft 管理コンソールが開きます。 ユーザー アカウント制御 (UAC) のプロンプトが表示されたら、[はい] 選択して、MMC がデバイスに変更を加えることを許可します。

  3. 証明書スナップインを追加します。

    • MMC ウィンドウで、メニュー バー [ファイル] を選択し、[スナップインの追加と削除]#を選択します。
    • [スナップインの追加と削除] ウィンドウで、下にスクロールし、[証明書]選択し、[の追加] 選択します。
    • 管理する証明書を尋ねるポップアップが表示されます。 コンピューター アカウントを選択し、次に 次へを選択します。
    • ローカルコンピュータを 選択します。(このコンソールが実行されているコンピュータ)[完了]を選択します。
    • 必要に応じて[マイ ユーザー アカウント または サービス アカウント を選択することもできますが、信頼されたルート証明機関にアクセスするには、[コンピューター アカウント選択します。
    • [OK] 選択して、[スナップインの追加と削除] ウィンドウを閉じます。

  4. 信頼されたルート証明機関にアクセスします。

    • MMC の [証明書 (ローカル コンピューター)] ツリーで、信頼されたルート証明機関 フォルダー を展開します。
    • 信頼されたルート証明機関の下で、証明書 を選択します。 コンピューターによって現在信頼されているすべての証明書を表示します。

  5. 証明書の管理:

    • ここから、各証明書の詳細を表示したり、新しい信頼された証明書をインポートしたり、既存の証明書を削除したりできます。 ただし、証明書を追加または削除する場合は、システムのセキュリティと機能に影響を与える可能性があるため、注意してください。

  6. MMC を閉じます。

    • 完了したら、MMC ウィンドウを閉じることができます。 変更を加え、コンソール設定を保存するかどうかを確認するメッセージが表示された場合は、この本体設定を頻繁に再利用する予定がない限り、[ なし] を選択します。

証明書と信頼されたルート証明機関ストアの管理は慎重に行う必要があり、通常は管理者特権が必要です。 不適切な変更により、システムのセキュリティが損なわれる可能性があります。

既定では、信頼されたルート証明機関の証明書ストアは、Microsoft ルート証明書プログラムの要件を満たす一連のパブリック CA で構成されます。 管理者は、信頼できる CA の既定のセットを構成し、ソフトウェアを検証するために独自のプライベート CA をインストールできます。

手記

プライベート CA は、ネットワーク環境の外部で信頼される可能性はほとんどありません。

有効なデジタル署名を用いることで、ドライバーパッケージの真正性と整合性が保証されます。 ただし、エンド ユーザーまたはシステム管理者がソフトウェア発行元を暗黙的に信頼するという意味ではありません。 ユーザーまたは管理者は、ソフトウェアの発行元とアプリケーションに関する知識に基づいて、アプリケーションをケース バイ ケースでインストールまたは実行するかどうかを決定する必要があります。 既定では、発行元は、証明書が信頼された発行元の証明書ストアにインストールされている場合にのみ信頼されます。

信頼されたルート証明機関の証明書ストアの名前は ルートです。 CertMgr ツールを使用して、プライベート CA のルート証明書をコンピューター上の信頼されたルート証明機関の証明書ストアに手動でインストールできます。

手記

PnP マネージャーによって使用されるドライバー署名検証ポリシーでは、プライベート CA のルート証明書が、ルート証明機関証明書ストアのローカル コンピューター バージョンに以前にインストールされている必要があります。 詳しくは、「Local Machine and Current User Certificate Stores」(ローカル マシンおよび現在のユーザーの証明書ストア) をご覧ください。

ドライバーの署名の詳細については、「ドライバー署名ポリシーの参照してください。