【PDF】PDFで社内電子署名の検証に失敗する時の証明書確認

社内文書に電子署名を施したPDFを開こうとした際、「署名の検証に失敗しました」「この署名は検証できません」といったエラーが表示され、業務が止まってしまうことがあります。原因の多くは、署名に使われた証明書の有効期限切れや、信頼されたルート証明書が端末にインストールされていないことです。この記事では、社内電子署名の検証に失敗する原因を証明書の観点から切り分け、具体的な確認手順や管理者へ依頼すべき内容を解説します。

社内電子署名の検証に失敗する主な原因

電子署名の検証は、署名時に使われた証明書が現在も有効であり、かつその証明書を発行した認証局(CA)が信頼されているかどうかに依存します。社内環境では、独自の認証局(社内CA)を構築しているケースが多く、そのルート証明書が各端末に正しく配布されていないと検証に失敗します。また、署名者の証明書自体の有効期限切れや失効も原因となります。さらに、PDFビューアー(Adobe Acrobat ReaderやブラウザのPDF表示機能)によって署名検証の方式が異なるため、表示エラーが発生することもあります。

原因1:ルート証明書が端末にインストールされていない

社内CAが発行した証明書で署名されたPDFを開くには、そのCAのルート証明書が「信頼されたルート証明機関」ストアに登録されている必要があります。Windowsではグループポリシーで配布されることが多いですが、個人の設定で削除されたり、更新が行われていない場合があります。

原因2:署名証明書の有効期限切れまたは失効

署名者が使用した証明書の有効期限が切れていると、検証に失敗します。また、証明書が発行元によって失効されている場合も同様です。失効情報はCRL(証明書失効リスト)やOCSP(オンライン証明書状態プロトコル)で確認されますが、社内ネットワークからこれらのサーバーにアクセスできない場合も失敗します。

原因3:PDFビューアーの署名検証設定

Adobe Acrobat Readerでは「信頼済み証明書」の設定が適切でないと、検証がスキップされたりエラーが表示されたりします。また、ChromeやEdgeの内蔵PDFビューアーは署名検証機能が限定的で、社内電子署名に対応していない場合があります。

失敗パターンと判断基準の比較表

エラーメッセージ例	原因の推定	確認すべきポイント
「この署名は検証できません」「署名の有効性を確認できませんでした」	ルート証明書が信頼されていない	Windows「証明書」スナップインで「信頼されたルート証明機関」に社内CAの証明書があるか確認
「証明書の有効期限が切れています」	署名者の証明書が期限切れ	PDFの署名プロパティで証明書の有効期間を確認
「証明書が失効しています」	証明書が失効リストに載っている	社内CAの失効情報サーバーにアクセスできるか確認
「この文書には署名が含まれていますが、検証に使用する証明書が見つかりません」	証明書チェーンが不完全	中間CA証明書がインストールされているか確認

証明書の状態を確認する具体的な手順

以下の手順で、検証失敗の原因を証明書レベルで切り分けてください。操作は管理者権限が必要な場合があるため、会社のポリシーに従って実施してください。

1. PDFの署名パネルを開く: Adobe Acrobat ReaderでPDFを開き、左側の「署名」パネル(または署名アイコン)をクリックして署名一覧を表示します。
2. 署名のプロパティを表示: 検証に失敗した署名を右クリック(またはダブルクリック)し、「署名のプロパティ」を選択します。「署名の検証ステータス」の詳細を確認します。
3. 証明書ビューアーで詳細を確認: 「証明書の詳細」ボタンをクリックし、「証明書パス」タブを開きます。ここで、ルート証明書が信頼済みとして表示されているか、チェーンが完全か確認します。
4. 有効期限を確認: 「詳細」タブで「有効期間の開始日」と「有効期間の終了日」を確認します。現在の日時が範囲内であるかチェックします。
5. Windowsの証明書ストアを確認: 「ファイル名を指定して実行」で「certlm.msc」(ローカルコンピューター)または「certmgr.msc」(現在のユーザー)を起動し、「信頼されたルート証明機関」→「証明書」に社内CAの証明書があるか確認します。発行先が社内CAの名前(例:YourCompany Root CA)になっているものを探します。
6. 中間CA証明書の確認: 「中間証明機関」フォルダにも同様の証明書がないか確認します。チェーンに中間CAが含まれる場合は、こちらも必要です。
7. 日付と時刻の同期: 端末の日時が正しいか確認します。証明書の有効期間は端末の時刻に依存するため、時刻がずれていると有効な証明書も期限切れと判断されます。

状況別の対処方法

原因に応じた具体的な対処方法を説明します。

ルート証明書が不足している場合

管理者から社内CAのルート証明書(.cerファイル)を入手し、以下の手順でインストールします。ただし、会社のセキュリティポリシーによりインストールが制限されている場合があるため、必ず管理者の指示を仰いでください。

1. 管理者から提供されたルート証明書ファイル(例:RootCA.cer)をダブルクリックします。
2. 「証明書のインストール」ウィザードで「ローカル コンピューター」を選択します(管理者権限が必要)。
3. 「証明書をすべて次のストアに配置する」を選び、「信頼されたルート証明機関」を指定します。
4. 完了後、PDFを再度開いて検証が通るか確認します。

署名証明書の有効期限切れの場合

署名者に新しい証明書を発行してもらい、再度署名し直す必要があります。古い署名は無効になるため、文書の改訂履歴を管理している場合は注意してください。

証明書が失効している場合

管理者が証明書を失効させた可能性があります。署名者に問い合わせて、新しい証明書で再署名してもらうか、管理者が失効を取り消さない限りその署名は無効です。万一、失効が誤っている場合は、管理者がCRLを更新する必要があります。

PDFビューアーが原因の場合

Adobe Acrobat Readerで「編集」→「環境設定」→「署名」→「検証」を開き、「すべての署名を検証」がオンになっていることや、「OCSP応答の取得」や「CRLの取得」の設定が適切か確認します。また、社内専用のPDFビューアーが配布されている場合はそちらを使用してみてください。

管理者に依頼すべきこととよくある質問

社内電子署名の検証失敗が組織全体で発生する場合、以下の情報を管理者に伝えるとスムーズです。

• どのPDFで失敗するのか(ファイル名、署名者、作成日時)
• エラーメッセージのスクリーンショット
• 端末のOSバージョンとPDFビューアーのバージョン
• 「certlm.msc」で確認したルート証明書の有無

よくある質問

Q: 自分で証明書を信頼する設定を変更してもよいですか?
A: 個人設定で「常に信頼」にチェックを入れると、その特定の証明書だけが信頼されますが、他の検証は引き続き失敗する可能性があります。また、悪意のある証明書を信頼してしまうリスクがあるため、管理者の指示なしに行わないでください。

Q: ブラウザでPDFを開くと検証に失敗するのに、Acrobat Readerでは成功するのはなぜですか?
A: ブラウザの内蔵PDFビューアーは署名検証機能が簡易的で、社内CAを信頼していないことが多いです。PDFをダウンロードしてAcrobat Readerで開くか、管理者がブラウザの証明書ストアにルート証明書を追加する必要があります。

Q: 署名は有効なのに検証に失敗する日時があります。なぜですか?
A: 端末のシステム時刻が証明書の有効期間外になっている可能性があります。自動時刻同期が正しく動作しているか確認してください。また、タイムゾーンの設定も影響します。

まとめ

社内電子署名の検証に失敗した場合、まずはPDFの署名プロパティで証明書の有効期限とチェーンを確認し、Windowsの証明書ストアでルート証明書の有無を調べてください。原因が証明書の不足や期限切れであれば、管理者に連絡して適切な証明書の配布や再署名を依頼します。勝手に信頼設定を変更せず、組織のセキュリティポリシーに従って対応することが重要です。この記事で紹介した手順を参考に、スムーズに問題を解決してください。

📑

PDFトラブル・操作完全解決データベース 閲覧エラー、編集・結合、パスワード解除など、PDFに関するあらゆる困りごとを網羅しています。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。