【Windows】社内サイトの証明書警告が一部PCだけ出る時のルート証明書確認

社内で利用しているWebサイトや業務システムにアクセスした際、証明書の警告が表示されることがあります。特に一部のPCだけに警告が出て、他のPCでは正常にアクセスできる場合、原因はクライアント側の設定や証明書の状態にあります。この記事では、そうした状況でルート証明書の確認を中心に、問題を切り分ける手順を解説します。具体的な確認方法や管理者に伝えるべき情報を整理しましたので、社内のIT担当者やシステム管理者の参考にしてください。

証明書警告が一部PCだけに出る原因

証明書警告が一部PCだけに表示される代表的な原因は、ルート証明書が信頼されたルート証明機関ストアにインストールされていないことです。社内のWebサーバーが自己証明書や内部CA(認証局)が発行した証明書を使用している場合、そのルート証明書が各PCに配布されていないと警告が発生します。この問題は、グループポリシーでルート証明書を配布しているにもかかわらず、一部のPCに適用されていないケースや、PCのOSバージョンや更新プログラムの状態によって証明書ストアの動作が異なるケースで起こり得ます。また、証明書の有効期限が切れている、PCの時刻がずれているといった別の要因も考えられます。

最初に確認すべきこと

警告の内容を正確に把握する

ブラウザに表示される証明書警告のメッセージをスクリーンショットに保存してください。「この証明書は信頼された証明書機関によって発行されたものではありません」や「証明書の有効期限が切れています」といったメッセージが表示されます。エラーコード(例:ERR_CERT_AUTHORITY_INVALID)も記録しておきましょう。この情報は原因特定に役立ちます。

正常なPCと比較する

警告が出ないPCと出るPCで、OSのバージョンやWindows Updateの適用状態、所属している組織単位(OU)が同じかどうかを確認します。特に、グループポリシーの適用状況が異なる可能性があります。コマンドプロンプトで「gpresult /R」を実行し、適用されているポリシーを一覧表示して比較します。

ルート証明書の確認手順

ここでは、警告が出ているPCでルート証明書の有無を確認する手順を説明します。管理者権限が必要な操作がありますので、権限がない場合はIT部門に依頼してください。

1. Windowsキー + Rを押して「ファイル名を指定して実行」ダイアログを開き、「certlm.msc」と入力してEnterキーを押します。これでローカルコンピューターの証明書ストアが開きます。
2. 左側のツリーで「信頼されたルート証明機関」→「証明書」フォルダを展開します。ここにインストールされているルート証明書の一覧が表示されます。
3. 社内サイトの証明書の発行元(例:社内CAの名前)を探します。見つからない場合は、該当のルート証明書がインストールされていない可能性があります。
4. 正常なPCでも同様の手順で確認し、ルート証明書が存在するかどうかを比較します。存在する場合は、証明書の有効期限も確認します。
5. 証明書の拇印(シリアル番号)を確認するには、証明書をダブルクリックして「詳細」タブを開き、「拇印」を選択して値が表示されます。正常なPCと拇印が一致するか確認します。

グループポリシーの適用状況を確認する

ルート証明書がグループポリシーで配布されている場合、ポリシーの適用に問題があると警告が発生します。以下の手順で確認します。

1. コマンドプロンプトを管理者として開き、「gpresult /H C:\gpresult.html」を実行します。これでグループポリシーの結果がHTMLファイルに出力されます。
2. 出力されたファイルを開き、「コンピューターの構成」→「管理用テンプレート」→「システム」→「証明書配布」などの設定を確認します。ルート証明書を配布するポリシーが適用されているか確認します。
3. 正常なPCでも同じコマンドを実行し、ポリシーが適用されているか比較します。適用されていない場合は、PCが正しいOUに所属しているか、ネットワーク接続に問題がないか確認します。

比較表:証明書警告が出るPCと出ないPCの違い

確認項目	警告が出るPC	警告が出ないPC
ルート証明書の有無	なし、または期限切れ	あり、有効期限内
OSバージョン	古い場合あり(例:Windows 10 1809)	最新(例:Windows 11 22H2)
グループポリシーの最終更新	数日前、または未更新	最近(例:ログオン時)
Windows Updateの状態	保留中の更新あり	最新状態

失敗パターンと注意点

誤ったストアに証明書をインストールする

ルート証明書は「信頼されたルート証明機関」ストアにインストールする必要があります。中間CA証明書をこのストアに入れると、警告が解消されないばかりか、セキュリティ上好ましくありません。証明書をインストールする際は、発行元の指示に従い、正しいストアを選択してください。

権限不足でインストールが失敗する

ユーザー権限で証明書をインストールしようとすると、現在のユーザーストアにのみインストールされ、コンピューター全体には反映されません。その結果、他のユーザーやシステムサービスからは認識されず、警告が続くことがあります。必ず管理者権限でcertlm.mscを使用してインストールしましょう。

証明書の有効期限を確認しない

古いルート証明書がインストールされていても、有効期限が切れていると警告が出ます。証明書の「有効期間の開始」と「終了」を確認し、期限内であることを確かめてください。期限切れの場合は、新しいルート証明書を入手する必要があります。

管理者へ伝えるべき情報

問題を解決するために、管理者に以下の情報を伝えるとスムーズです。

• 警告のスクリーンショットとエラーメッセージの全文
• 社内サイトのURLと、アクセス時に表示される証明書のシリアル番号や拇印
• 正常なPCのOSバージョンと、問題のPCのOSバージョン、Windows Updateの状態
• gpresult /R の出力結果(グループポリシーの適用状況)
• certlm.mscで確認したルート証明書の有無と一覧

よくある質問

Q1. 警告が出てもそのままアクセスし続けても問題ありませんか?

証明書警告は、第三者によるなりすましや通信の傍受(中間者攻撃)のリスクを示しています。社内サイトであっても、警告を無視してアクセスすることは推奨できません。管理者に報告し、適切な証明書が配布されるまでアクセスを控えたほうが安全です。

Q2. 自己証明書を使っている場合の対応は?

自己証明書は内部CAが発行した証明書と似ていますが、ルート証明書が各PCに配布されていないと警告が出ます。管理者が発行したルート証明書をグループポリシーで配布するか、各PCに手動インストールする必要があります。業務利用の場合は、自己証明書ではなく、信頼された外部CAの証明書を導入することを検討しましょう。

Q3. 証明書の警告が突然出るようになりました。以前は出ませんでした。

考えられる原因として、ルート証明書の有効期限切れ、サーバー側の証明書更新に伴うルート証明書の変更、グループポリシーの設定変更、Windows Updateによる証明書ストアの変更などがあります。まずはイベントビューアー(システムログ)で関連するエラーがないか確認し、管理者に連絡してください。

まとめ

社内サイトの証明書警告が一部PCだけに出る場合、ルート証明書の不足やグループポリシーの適用漏れが主な原因です。まずは警告が出るPCでcertlm.mscを使ってルート証明書の有無を確認し、正常なPCと比較しましょう。グループポリシーの適用状況も併せて調べ、問題を特定します。管理者に正確な情報を伝えることで、迅速な対応が可能になります。日頃からPCのOS更新とグループポリシーの適用を徹底し、証明書の有効期限管理を怠らないことが再発防止につながります。

💻

Windowsトラブル完全解決データベース 起動不能、更新の不具合、動作が重い、設定の消失など、Windows 10/11のあらゆるトラブル解決手順を網羅しています。