【Windows】内部サーバーエラーをWSUSサーバーの「SSL証明書」再発行で解決する手順 | エラーコード:0x8024401f

WSUSサーバーで0x8024401fというエラーコードが表示され、Windows Updateがダウンロードできない状況でしょうか。

このエラーは、WSUSサーバーのSSL証明書に問題がある場合に発生します。

この記事では、SSL証明書を再発行することで、この内部サーバーエラーを解決する具体的な手順を解説します。

WSUSの0x8024401fエラーが発生する根本的な原因

WSUSクライアントがWSUSサーバーから更新プログラムを取得する際、セキュアなHTTPS通信を使用します。

この通信には、WSUSサーバーが発行するSSL証明書が必要です。

エラーコード0x8024401fは、クライアントがWSUSサーバーのSSL証明書を信頼できない、または証明書が無効である場合に発生します。

具体的には、証明書の有効期限切れ、証明書の破損、または証明書ストアからの欠落などが原因です。

この状態では、クライアントはサーバーとの安全な接続を確立できず、更新プログラムのダウンロードに失敗します。

SSL証明書を再発行することで、信頼できる新しい証明書が提供され、クライアントとサーバー間の通信が正常化されます。

WSUSサーバーのSSL証明書を再発行する手順

1. 既存のWSUS関連証明書を削除する
   Windows 11のスタートボタンを右クリックし、「ファイル名を指定して実行」を選択します。
   「inetmgr」と入力し、「OK」ボタンをクリックしてIISマネージャーを開きます。
   左側の接続ペインで、サーバー名をクリックします。
   中央の機能ビューで「サーバー証明書」をダブルクリックします。
   WSUSサーバーに関連する証明書を探し、特に「WSUS Signing Certificate」などWSUSと明記されているものを選択します。
   右側の操作ペインで「削除」をクリックし、確認メッセージで「はい」をクリックします。
   Windows 10の場合も同様に「ファイル名を指定して実行」からIISマネージャーを開き、証明書を削除します。
2. PowerShellで新しいWSUSサーバー証明書を生成する
   スタートボタンを右クリックし、「Windowsターミナル 管理者」または「PowerShell 管理者」を選択します。
   以下のコマンドを入力し、Enterキーを押します。
   & "C:\Program Files\Update Services\Tools\WsusUtil.exe" usecustomwebsite
   このコマンドは、WSUSサーバー用の新しいSSL証明書を自動的に生成し、証明書ストアに登録します。
   コマンド実行後、WSUSサービスの状態を確認するため、以下のコマンドを実行します。
   & "C:\Program Files\Update Services\Tools\WsusUtil.exe" checkhealth
   正常に実行されれば、証明書の再発行は成功です。
3. IISで新しい証明書をWSUSサイトにバインドする
   IISマネージャーに戻ります。
   左側の接続ペインで、「サイト」を展開し「WSUS Administration」を選択します。
   右側の操作ペインで「バインド」をクリックします。
   「サイトバインド」ダイアログが表示されたら、「https」を選択し「編集」をクリックします。
   「SSL証明書」のドロップダウンリストから、手順2で新しく生成された証明書を選択します。
   通常はサーバーのFQDN(完全修飾ドメイン名)やWSUSサーバー名で識別できます。
   「OK」をクリックし、サイトバインドダイアログを閉じます。
   Windows 10でも同じ手順でバインド設定を行います。
4. WSUSサービスとIISを再起動する
   スタートボタンを右クリックし、「ファイル名を指定して実行」を選択します。
   「services.msc」と入力し、「OK」ボタンをクリックしてサービス管理ツールを開きます。
   以下のサービスをそれぞれ右クリックし、「再起動」を選択します。
   Update Services
   World Wide Web Publishing Service
   IISマネージャーに戻り、左側の接続ペインでサーバー名を選択し、右側の操作ペインで「再起動」をクリックしてIIS全体を再起動します。
5. クライアント側でWindows Updateを検証する
   WSUSクライアントとなるWindows PCで管理者権限のコマンドプロンプトを開きます。
   以下のコマンドを入力し、Enterキーを押してグループポリシーを更新します。
   gpupdate /force
   Windowsの設定を開き、「Windows Update」に移動します。
   「更新プログラムのチェック」をクリックし、更新プログラムが正常に検出されるか確認します。
   エラーコード0x8024401fが再発生しないことを確認します。

WSUSサーバー修復でやりがちなミスと対処

誤った証明書を削除してしまう

IISマネージャーでWSUS関連以外の証明書を誤って削除すると、他のWebサービスやアプリケーションに影響が出ます。

証明書を削除する際は、必ず「WSUS Signing Certificate」やWSUSサーバー名を含む証明書であることを慎重に確認してください。

不明な場合は、削除せずに新しい証明書を生成し、バインド設定のみ変更することを検討します。

PowerShellコマンドが実行できない

WsusUtil.exeのパスが間違っている、または管理者権限でPowerShellを実行していない可能性があります。

コマンドプロンプトやPowerShellは必ず管理者として実行してください。

また、WsusUtil.exeのデフォルトパスは「C:\Program Files\Update Services\Tools\」ですが、WSUSのインストール先によっては異なる場合があります。

インストールパスを確認し、コマンドを修正してください。

WSUS Administrationサイトのバインド設定が反映されない

IISサービスの再起動が不完全な場合や、キャッシュが残っている場合があります。

IISマネージャーでサーバー全体を再起動するか、サーバーOSを再起動することで設定が確実に反映されます。

サービス管理ツールで「World Wide Web Publishing Service」も再起動したことを確認してください。

Windows 10クライアントで更新プログラムが検出されない

クライアント側のグループポリシーがまだ更新されていないか、WSUSサーバーへの接続設定に他の問題がある可能性があります。

クライアントPCでgpupdate /forceを実行後、数分待ってから再度更新プログラムのチェックを試してください。

それでも解決しない場合は、クライアント側のレジストリ設定(HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate)を確認し、WSUSサーバーのURLが正しく設定されているか確認します。

WSUSで利用されるSSL証明書の種類と役割

項目	WSUSサーバー証明書	WSUS署名証明書
目的	WSUS AdministrationサイトのHTTPS通信を保護する	WSUSが配布する更新プログラムの整合性を保証する
発行元	内部CA、外部CA、またはWsusUtil.exeで自己署名	WsusUtil.exeで自己署名(既定)
影響範囲	クライアントとWSUSサーバー間の通信	クライアントが更新プログラムを信頼できるか
再発行方法	IISマネージャーでのバインド、WsusUtil.exe usecustomwebsite	WsusUtil.exe resetservercertificate(通常は不要)

WSUSサーバーのSSL証明書を再発行することで、0x8024401fの内部サーバーエラーを解決し、クライアントPCが更新プログラムを正常に取得できるようになります。

定期的な証明書の有効期限確認と適切な管理は、WSUS運用の安定性に直結します。

この手順は、WSUSの他の通信関連トラブルの診断にも役立つでしょう。