会社のPCで社内Webサイトにアクセスしようとしたところ、「この接続ではプライバシーが保護されません」や「NET::ERR_CERT_AUTHORITY_INVALID」といった証明書エラーが表示されることがあります。社内サイトだけに発生する場合、原因はルート証明書の欠落や配布状態にあるケースが大半です。この記事では、Windows環境で社内サイトの証明書エラーが発生する原因を切り分け、ルート証明書の確認方法と管理者による配布状態の確認手順を詳しく解説します。
【要点】この記事で確認すること
- 最初に見る場所: エラーメッセージの詳細と証明書情報(発行者、有効期限)をブラウザの鍵マークから確認します。
- 切り分けの軸: 端末側(ルート証明書の有無)と管理設定側(グループポリシーによる配布状況)の2軸で原因を特定します。
- 注意点: 社内で発行されたルート証明書は勝手にインポートしないでください。誤った証明書を信頼するとセキュリティリスクが生じます。必ずIT管理者の指示を仰ぎましょう。
ADVERTISEMENT
目次
社内サイトの証明書エラーが発生する主な原因
証明書エラーは、ブラウザがサーバーから受け取った証明書を正しく検証できないときに発生します。社内サイトだけに限定される場合、以下の原因が考えられます。
- ルート証明書がインストールされていない: 社内の認証局(CA)が発行したルート証明書が端末の「信頼されたルート証明機関」ストアに存在しない。これが最も多い原因です。
- 中間証明書が不足している: サーバー証明書のチェーンが不完全で、中間CA証明書が端末にインストールされていない。
- 証明書の有効期限切れ: サーバー証明書またはルート証明書自体の有効期限が切れている。
- グループポリシーによる配布が未完了: 管理者がActive Directoryのグループポリシーを使って証明書を配布しているが、端末に適用されていない(ポリシーの反映待ちやネットワーク障害)。
- 手動でインストールした証明書の不整合: ユーザーが誤った証明書をインポートしたり、更新前の古い証明書が残っている。
これらの原因を特定するには、まずエラーメッセージの種類を確認し、その後ルート証明書の有無を調べることが重要です。
証明書エラーの種類と見分け方
ブラウザによって表示されるエラーコードは異なりますが、意味は似ています。代表的なエラーを以下の表にまとめました。
| ブラウザ | エラーメッセージ例 | 主な原因 |
|---|---|---|
| Chrome / Edge | NET::ERR_CERT_AUTHORITY_INVALID | 発行者(CA)が信頼されていない(ルート証明書なし) |
| Firefox | SEC_ERROR_UNKNOWN_ISSUER | 同上(Firefoxは独自の証明書ストアを使用) |
| Internet Explorer | 「このWebサイトのセキュリティ証明書には問題があります。」 | 証明書の失効、発行者不明 |
| すべてのブラウザ | 「この接続ではプライバシーが保護されません」 | 証明書チェーンの不全、期限切れなど |
エラーメッセージだけでは原因を特定できない場合、ブラウザの鍵アイコンをクリックして「証明書の表示」から詳細を確認しましょう。特に「発行者」の名称が社内のCA名(例:Contoso Root CA)と一致するか、有効期限が切れていないかをチェックしてください。
ルート証明書の存在を自分で確認する手順
端末に社内のルート証明書がインストールされているかどうかは、以下の手順で確認できます。管理者権限がなくても参照は可能です(ただし、インポートや削除には管理者権限が必要です)。
- キーボードの Windows キーを押しながら R キーを押し、「ファイル名を指定して実行」ダイアログを開きます。
- 「名前」欄に
mmcと入力し、Enterキーを押します。Microsoft Management Console(MMC)が起動します。 - メニューから「ファイル」→「スナップインの追加と削除」を選択します。
- 左側の一覧から「証明書」を選び、「追加」をクリックします。開いたダイアログで「コンピューターアカウント」を選択し、「次へ」→「ローカルコンピューター」→「完了」をクリックします。
- MMCの左ペインで「証明書(ローカルコンピューター)」→「信頼されたルート証明機関」→「証明書」の順に展開します。
- 右ペインに表示された証明書一覧から、社内CAの名前(例:Contoso Root CA)を探します。発行先と発行者が同じ自己署名ルート証明書であることを確認します。
- 見つからない場合、または発行者が外部のCA(例:DigiCert)だったとしても社内のCAが含まれていない場合は、ルート証明書が不足している可能性が高いです。
注意点として、FirefoxはWindowsの証明書ストアとは別に独自のストアを持っています。Firefoxで社内サイトにアクセスできない場合は、Firefoxのオプション→プライバシーとセキュリティ→証明書→「認証局証明書」を確認する必要があります。
ADVERTISEMENT
管理者による証明書配布状態の確認方法
ルート証明書が端末に存在しない場合、管理者がグループポリシーやスクリプトで配布しているかどうかを確認する必要があります。以下の情報は、IT管理者が確認すべきポイントです。一般ユーザーはこの内容を参考に、管理者に適切に状況を伝えることができます。
グループポリシーの設定を確認する
Active Directory環境では、「コンピューターの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「公開キーのポリシー」→「証明書のパス検証の設定」で証明書の配布が構成されています。また、「信頼されたルート証明機関」に直接証明書を追加するポリシーも存在します。
管理者は、グループポリシー管理エディターで該当のポリシーを開き、配布予定のルート証明書が正しく設定されているか確認します。特に、証明書の拇印(Thumbprint)が実際の証明書と一致するかが重要です。
クライアント端末でのポリシー適用状況を確認する
ユーザーはコマンドプロンプトで gpresult /h gpresult.html を実行すると、適用されているグループポリシーの詳細をHTMLファイルで出力できます。このファイルを管理者に送れば、証明書の配布ポリシーが適用されているかどうかを確認してもらえます。
また、certlm.msc(ローカルコンピューターの証明書管理)を開き、「信頼されたルート証明機関」の一覧をエクスポートして管理者に提供するのも効果的です。
証明書エラーを解決するための具体的手順
原因が特定できたら、以下の対応を行います。
- ルート証明書が不足している場合: 管理者が正しいルート証明書を配布する必要があります。グループポリシーを更新するか、
certutil -addstore Root ファイルパスコマンドで手動インストールを指示します。
※ ユーザー自身で証明書をインポートすることは推奨しません。誤った証明書を信頼するとセキュリティリスクが高まります。 - 中間証明書が不足している場合: サーバー証明書のチェーンに中間CA証明書が含まれているか確認します。不足している場合は、管理者が中間証明書を「中間認証局」ストアにインストールします。
- 有効期限切れの場合: 証明書を更新し、再度配布します。有効期限が切れたルート証明書は失効させ、新しい証明書を展開します。
- グループポリシーの適用が遅れている場合: 端末で
gpupdate /forceコマンドを実行し、ポリシーを強制的に適用します。再起動後に反映されることもあります。 - 手動インストールの不整合: 古い証明書や誤った証明書を削除し、正しい証明書を再インストールします。証明書ストアのバックアップを取ってから行います。
上記の対応を行っても解決しない場合、サーバー側のSSL/TLS設定やCDNの影響など、別の原因が考えられます。その際はネットワーク管理者やセキュリティ担当者に連絡してください。
よくある質問とトラブルシューティング
社内サイトの証明書エラーに関して、現場でよく寄せられる質問とその回答をまとめました。
Q1. 証明書をインポートしてもエラーが消えない
考えられる原因として、インポート先のストアが間違っている(「信頼されたルート証明機関」ではなく「個人」ストアに入れたなど)、証明書のチェーンが不完全(中間証明書が不足)、または証明書自体が古いなどの理由があります。必ず「信頼されたルート証明機関」と「中間認証局」の両方に必要な証明書が揃っているか確認してください。
Q2. 一部の端末だけエラーが出る
グループポリシーの適用範囲が限定されている可能性があります。特定のOU(組織単位)にのみポリシーがリンクされている場合、対象外の端末には証明書が配布されません。また、端末のネットワーク接続状況(社内ネットワークかどうか)も影響します。
Q3. 証明書の有効期限が切れたらどうすればいい?
社内CAが発行した証明書の場合、管理者が新しい証明書を再発行し、配布します。ルート証明書の有効期限が切れると、そのCAから発行されたすべての証明書が信頼されなくなるため、計画的に更新が必要です。一般的にルート証明書は長期(10~20年)の有効期限が設定されます。
Q4. ブラウザの警告を無視してアクセスし続けても問題ない?
危険です。警告を無視してアクセスすると、中間者攻撃(MITM)やフィッシングサイトに誘導されるリスクがあります。社内サイトであっても、証明書エラーは設計通りの挙動であり、必ず適切な証明書をインストールしてください。
まとめ
社内サイトの証明書エラーは、ルート証明書の欠落や配布状態の不備が原因であることが多いです。まずはエラーメッセージの種類を確認し、ブラウザの証明書ビューアで発行者や有効期限を調べることから始めてください。自分で証明書ストアを確認する際は、誤った操作を避けるために参照に留め、証明書のインポートや削除は管理者の指示のもとで行う必要があります。原因がグループポリシーの問題であれば、IT管理者にポリシーの適用状況を確認してもらいましょう。証明書エラーは軽視せず、適切に対処することで安全な社内ネットワーク利用を維持できます。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Windows・PCの人気記事ランキング
- 【Windows】「ゲーミングサービス」がインストールできない!Xboxアプリとの無限ループを脱出する修復コマンド
- 【Edge】起動時や新しいタブを「Google」にする設定!ニュースを消してシンプルにする方法
- 【直し方】F7でカタカナにならない!ファンクションキーが効かず音量などが変わる時のFnロック解除法
- 【Windows】標準アプリのショートカットアイコンが白い紙になった時の情報の更新
- 【Windows】デスクトップのアイコンが「白い紙」になった!アイコンキャッシュを削除して元に戻すコマンド
- 【Windows】パスワードなしで起動!PIN入力を省略して自動ログイン(サインイン)させる設定手順
- 【Windows】音が出ない!スピーカーに×が付く・ミュート解除しても無音になる時の直し方5選
- 【PC周辺】2台のモニターで壁紙を「別々」にする方法!Windows11での配置と調整
- 【Windows】サブモニターが映らない!HDMIを挿しても「信号なし」になる時の認識・設定手順
- 【Edge】検索バーを「Bing」から「Google」に!勝手にBingに戻る時の設定固定術