【Windows】会社PCで社内CA証明書を入れても警告が消えない時の証明書ストア設定

会社PCで社内向けWebサイトやアプリケーションにアクセスする際、「この接続は安全ではありません」という警告が表示されることがあります。社内認証局(CA)の発行した証明書をインストールしても警告が消えない場合、原因はインストール場所の誤りやチェーン証明書の欠落、ブラウザの設定など多岐にわたります。この記事では、証明書警告が消えない原因を体系的に切り分け、具体的な確認手順を解説します。Windowsの操作に不慣れな方でも、手順に沿って進められるように構成しました。

社内CA証明書の警告が消えない主な原因

証明書をインストールしても警告が消えない原因は、大きく分けて4つあります。それぞれの特徴を把握しておくことで、適切な対処が可能になります。

証明書のインストール場所が誤っている

Windowsの証明書ストアは「ユーザーストア」と「ローカルコンピューターストア」に分かれています。社内CA証明書は多くの場合、ローカルコンピューターの「信頼されたルート証明機関」にインストールする必要があります。ユーザーストアだけにインストールしても、システム全体や他のユーザーには適用されず、警告が残ることがあります。

証明書チェーンが不完全

ルートCA証明書だけをインストールしても、中間CA証明書が不足しているとチェーンが途切れ、ブラウザが証明書を信頼しません。社内CAが中間証明機関を介している場合は、ルート証明書と中間証明書の両方をインストールする必要があります。

ブラウザやアプリが別の証明書ストアを参照している

Google ChromeやMicrosoft Edge(Chromium版)は、Windowsの証明書ストアに加えて独自の証明書ストア(内蔵ルートストア)を持っています。特にChromeはOSのストアのみを参照するため、正しく入れていれば問題ありませんが、Firefoxは独自のストアを使用するため別途証明書の追加が必要です。また、JavaアプリケーションなどはJava独自の証明書ストア(cacerts)を参照する場合があります。

グループポリシーや管理設定による上書き

会社PCではActive Directoryのグループポリシーによって証明書の配布や信頼設定が強制されていることがあります。ローカルに手動で証明書をインストールしても、ポリシーが優先されるため警告が消えません。この場合、管理者によるポリシーの修正が必要です。

確認手順①:証明書のインストール状態を確認する

まずは現在の証明書のインストール状況を確認します。以下の手順でWindowsの証明書スナップインを開きます。

1. ファイル名を指定して実行を開く:キーボードの「Windowsキー + R」を押し、「ファイル名を指定して実行」ダイアログを表示します。
2. mmcと入力してEnter:表示されたテキストボックスに「mmc」と入力し、Enterキーを押します。ユーザーアカウント制御(UAC)が表示された場合は「はい」をクリックします。
3. スナップインの追加:メニューバーから「ファイル」→「スナップインの追加と削除」をクリックします。利用可能なスナップインの一覧から「証明書」を選択し、「追加」をクリックします。
4. ストアの選択:「このスナップインで管理する証明書ストア」で「コンピューターアカウント」を選択し、「次へ」をクリックします。続いて「ローカル コンピューター」を選択し、「完了」をクリックします。
5. 証明書ストアの参照:コンソールルートに「証明書(ローカル コンピューター)」が追加されます。これを展開し、「信頼されたルート証明機関」→「証明書」をクリックします。右側の一覧に社内CAの証明書が表示されているか確認します。
6. 中間証明機関も確認:同様に「中間証明機関」→「証明書」も確認します。表示されていない場合は、証明書が不足している可能性があります。

ユーザーストアのみにインストールしたかどうかを確認する場合は、手順4で「ユーザーアカウント」を選択して同様に確認します。ルート証明書がユーザーストアにしかない場合は、ローカルコンピューターストアに再インストールする必要があります。

確認手順②:ブラウザごとの証明書設定を確認する

ブラウザによって証明書の参照先が異なります。主要ブラウザごとに設定を確認します。

Google Chrome / Microsoft Edge(Chromium版)

1. アドレスバーに「chrome://settings/security」(Chromeの場合)または「edge://settings/security」(Edgeの場合)と入力してEnterを押します。
2. 「セキュリティ」セクションで「証明書の管理」をクリックします。Windowsの証明書マネージャーが開きます。
3. 「信頼されたルート証明機関」タブで社内CAが一覧に含まれているか確認します。含まれていない場合は、Windowsのストアに正しくインストールされている必要があります。

ChromeやEdgeはOSの証明書ストアをそのまま利用するため、Windowsのストアに正しく入っていれば問題ありません。

Mozilla Firefox

1. Firefoxのメニューボタン(三本線)→「設定」→「プライバシーとセキュリティ」を開きます。
2. 下にスクロールして「証明書」セクションの「証明書を表示」ボタンをクリックします。
3. 「認証局証明書」タブで社内CA証明書がリストにない場合、「インポート」ボタンから証明書ファイル(.cerや.crt)を追加します。

Firefoxは独自の証明書ストアを持つため、Windows側にインストールしてもFirefoxには反映されません。Firefox使用時は必ずFirefox側にも証明書をインポートしてください。

確認手順③:グループポリシーや管理設定の影響を確認する

会社PCではグループポリシー(GPO)によって証明書の配布や信頼設定が管理されている場合があります。自分の操作でインストールした証明書がポリシーで上書きされていないか確認します。

1. gpresultコマンドでポリシーを確認:コマンドプロンプトを管理者として開き、「gpresult /H C:\policy.html」と入力します。生成されたHTMLファイルを開き、「コンピューターの構成」→「管理用テンプレート」→「システム」→「証明書の配布」などの設定を確認します。
2. 証明書の配布設定をチェック:ポリシーで特定のルート証明書が強制配布されている場合、ローカルで異なる証明書をインストールしても無効になります。手動でインストールした証明書がポリシー対象外の場合は、ポリシーが優先される可能性があります。
3. 管理者に問い合わせ:gpresultの出力が複雑な場合や設定変更が必要な場合は、IT管理者に連絡してポリシーの内容を確認してもらってください。管理者は「証明書サービス」のコンソールから配布状況を確認できます。

状況別の比較表

症状	考えられる原因	確認する場所	対処方法
全ブラウザで警告が出る	ルート証明書が未インストール、またはインストール場所が誤り	mmcのローカルコンピューターストア	ルート証明書をローカルコンピューターの「信頼されたルート証明機関」にインポート
Chrome/Edgeのみ警告、Firefoxでは正常	Firefox用の証明書が別途必要ないが、逆の場合はFirefoxの独自ストアに未登録	Firefoxの証明書マネージャー	Firefoxの設定から証明書をインポート
一部のアプリでのみ警告	Javaや特定アプリが独自ストアを参照	アプリの設定、Javaコントロールパネル	該当アプリの証明書ストアに証明書を追加
手動インストール後に警告が消えない	グループポリシーによる上書き	gpresult結果、管理者に確認	IT管理者にポリシーの修正を依頼

よくある失敗パターンと対処法

証明書トラブルで特に多い失敗パターンを3つ紹介します。同じ状況に陥った場合は、ここを先に確認すると効率的です。

失敗パターン1:ユーザーストアにしかインストールしていない

多くのユーザーは、証明書ファイルをダブルクリックして「証明書のインストール」を実行すると、デフォルトでユーザーストアにインストールされます。しかし、社内CA証明書はシステム全体で信頼する必要があるため、ローカルコンピューターストアにインストールしなければなりません。正しい手順は、mmcのスナップインを使用してローカルコンピューターストアにインポートするか、証明書のインポートウィザードで「すべての証明書を次のストアに配置する」を選択し、ローカルコンピューターの「信頼されたルート証明機関」を指定することです。

失敗パターン2:中間CA証明書を入れ忘れている

ルートCA証明書だけをインストールして、中間CA証明書をインストールしないケースが頻繁に発生します。社内CAの構成によっては、ルート証明書からサーバー証明書までの間に中間証明機関が存在します。証明書チェーンが完全でないと、ブラウザは信頼できないと判断します。証明書を発行した部署から中間証明書ファイルも入手し、同様にローカルコンピューターの「中間証明機関」にインポートしてください。

失敗パターン3:期限切れや失効した証明書を使っている

長期間使用している社内CA証明書が有効期限切れになっていないか確認します。また、証明書が失効(CRLやOCSPで失効状態)の場合も警告が表示されます。mmcで証明書をダブルクリックし、「全般」タブで有効期限を確認します。期限切れの場合は、新しい証明書を再発行してもらって再インストールします。

管理者に確認すべき情報

自分でトラブルシューティングしても解決しない場合、IT管理者に連絡する必要があります。その際、以下の情報を伝えるとスムーズです。

• 症状の詳細:どのブラウザやアプリで警告が出るか、エラーメッセージのスクリーンショット。
• インストールした証明書の情報:証明書のファイル名、発行者、シリアル番号、インストール先のストア。
• 実施した手順:証明書のインストール方法、mmcで確認した結果、gpresultの出力。
• OSとブラウザのバージョン:Windows 10/11のエディションとビルド番号、ブラウザのバージョン。
• グループポリシーの適用状況:自分で確認できる範囲で、ポリシーが適用されているかどうか。

管理者はこれらの情報をもとに、ポリシー設定の確認や証明書の配布状況を調査し、修正対応を行います。

よくある質問

Q1. 証明書をインストールする際に管理者権限が必要ですか?

ローカルコンピューターストアに証明書をインストールするには、管理者権限が必要です。ユーザーストアへのインストールは管理者権限がなくても可能ですが、システム全体で有効にするには管理者権限が必要です。会社PCで管理者権限がない場合は、IT管理者に依頼してください。

Q2. 証明書をインストールしたのにすぐに警告が消えません。再起動が必要ですか?

多くの場合は再起動不要で、ブラウザを再起動すれば反映されます。ただし、グループポリシーが関係している場合や、証明書キャッシュが古い場合には、PCの再起動が必要なことがあります。まずはブラウザを完全に閉じて再度開いてください。それでも改善しない場合は、PCを再起動してみてください。

Q3. 証明書を削除しても問題ありませんか?

自分でインストールした証明書であれば削除しても問題ありませんが、システムが自動でインストールした証明書やポリシーで配布された証明書を削除すると、他のサービスに影響が出る可能性があります。削除する前に、必ず証明書の用途を確認し、管理者に相談してください。

まとめ

社内CA証明書の警告が消えない場合、まずはインストール先がローカルコンピューターの正しいストアかどうかを確認します。次に中間証明書の欠落やブラウザ固有の設定を見直し、グループポリシーの影響も考慮します。多くの問題はこれらの手順で解決できますが、管理対象のPCでは自分で変更できない設定もあるため、早めにIT管理者に相談することが重要です。証明書の管理はセキュリティの基本です。正しく設定し、安全な社内ネットワーク環境を維持しましょう。

💻

Windowsトラブル完全解決データベース 起動不能、更新の不具合、動作が重い、設定の消失など、Windows 10/11のあらゆるトラブル解決手順を網羅しています。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。