はじめに
こんにちは、あるいはこんばんは。本連載では、Linux環境でインフラやセキュリティを構築してきたエンジニアに向けて、Windowsの内部構造やセキュリティ機能を「Linuxの概念に翻訳して」徹底解説していきます。
第18回のテーマは「プロキシ環境における証明書管理」です。
企業ネットワークにおいて、安全なWebブラウジングやセキュリティ監視の要となるのがプロキシサーバー、特に通信を可視化してウイルススキャン等を行う「SSL/TLSインスペクション(SSLプロキシ)」です。
しかし、プロキシがHTTPS通信を仲介(復号・再暗号化)する際、クライアント端末がプロキシの証明書を信頼していないと、ブラウザで大量のセキュリティ警告が発生してしまいます。
この記事では、プロキシ環境で必須となるWindowsの「信頼済みルート証明書ストア」の仕組みと、GPOやCLIを用いた効率的な管理手法について解説します。
対象環境
- Windows Server 2019 / 2022、Windows 10 / 11
- Active Directoryドメイン環境(GPO配布の場合)
- 各コマンドは管理者権限のPowerShell / コマンドプロンプトで実行してください。
1. なぜプロキシ環境で証明書管理が必要なのか?
通常のHTTPS通信では、ブラウザとWebサーバーが直接暗号化セッションを確立します。しかし、セキュリティプロキシ(次世代ファイアウォールやSWGなど)がSSL/TLSインスペクションを行う場合、プロキシは通信を一度復号して検査し、再暗号化してクライアントに返します。
【通常のHTTPS】
クライアント <──(TLS: Webサーバーの証明書)──> Webサーバー
【SSL/TLSインスペクション構成】
クライアント <──(TLS①: プロキシが動的発行した証明書)──> プロキシ <──(TLS②: 本物の証明書)──> Webサーバー
このとき、プロキシは example.com に対してプロキシのCA(認証局)で署名した代替証明書を動的に発行し、クライアントに提示します。これは組織が意図的に設定するセキュリティ機能ですが、プロキシのルート証明書がクライアントの「信頼済みルート証明書ストア」に登録されていないと、画面に「この接続は安全ではありません」という重大な警告が表示されます。
つまり、SSL/TLSインスペクションを正常に機能させるには、組織内のすべてのWindows端末にプロキシのルート証明書を安全に配布・管理する仕組みが不可欠です。
2. Windows証明書ストアの構造
Windowsの証明書ストアは2つのスコープで管理されています。
| スコープ | PowerShellドライブパス | 変更に必要な権限 | 用途 |
|---|---|---|---|
| 現在のユーザー | Cert:\CurrentUser\Root |
ユーザー権限 | 個人の証明書信頼設定 |
| ローカルコンピューター | Cert:\LocalMachine\Root |
管理者権限必須 | 端末全体・全ユーザー共通 |
プロキシのルート証明書など、システム全体で一貫して信頼すべき証明書は、必ず「ローカルコンピューター」の「信頼済みルート証明書機関(Trusted Root Certification Authorities)」に配置する必要があります。ユーザー権限で変更できる CurrentUser 側に入れると、管理者以外のユーザーが自己署名証明書を勝手に信頼させることが可能になり、セキュリティ上のリスクになります。
3. 証明書ストアの管理手法
数台の端末であれば手動インポートも可能ですが、エンタープライズ環境では自動化・一元管理が鉄則です。
手法A:Active Directory環境での一括配布(GPO)【推奨】
ドメイン環境では、グループポリシー(GPO)を使用するのが最も確実で安全な方法です。端末のドメイン参加時に自動適用され、証明書の更新・失効も一元管理できます。
GPO設定パス:
コンピューターの構成
→ ポリシー
→ Windowsの設定
→ セキュリティの設定
→ 公開キーのポリシー
→ 信頼されたルート証明機関
→ 右クリック → インポート
プロキシのルート証明書(.cer / .crt ファイル)をインポートすると、ポリシー適用時にドメイン内の全端末の LocalMachine\Root に自動配布されます。
GPO適用状況の確認:
# 端末上でGPOの適用ログを確認
gpresult /r /scope computer | Select-String "証明書\|Certificate"
# またはイベントビューアーで確認
Get-WinEvent -LogName "Microsoft-Windows-GroupPolicy/Operational" -MaxEvents 20 |
Where-Object { $_.Message -like "*certificate*" }
手法B:PowerShellによるインポート(スタンドアロン・Intune等)
ワークグループ環境や、IntuneなどのMDMからスクリプトとして配布する場合は、Import-Certificate コマンドレットを使用します。
Cert:\LocalMachine\Root への書き込みは管理者権限が必須です。権限昇格なしに実行すると「アクセスが拒否されました」エラーになります。
# ① 証明書ファイルのパスを指定
$certPath = "C:\Certificates\ProxyRootCA.crt"
# ② ローカルコンピューターの信頼済みルートにインポート(管理者権限が必要)
Import-Certificate -FilePath $certPath -CertStoreLocation "Cert:\LocalMachine\Root"
# ③ インポート結果を確認(サムプリントで照合)
Get-ChildItem -Path "Cert:\LocalMachine\Root" |
Where-Object { $_.Subject -like "*ProxyRootCA*" } |
Select-Object Subject, Thumbprint, NotAfter
手法C:certutilによるインポート(バッチファイル等)
従来のバッチファイルやログオンスクリプトで処理したい場合は、certutil コマンドを使用します。
certutil -addstore "Root" "C:\Certificates\ProxyRootCA.crt"
-f オプションの誤用に注意
よく見かける certutil -addstore -f "Root" <証明書> の -f オプションは「同名証明書を上書き」ではなく、「重複チェックを無視して強制追加」です。同一サムプリントの証明書でも重複してストアに追加されます。定期的なスクリプト実行でこのオプションを使い続けると、同じ証明書が複数エントリとして蓄積されます。
REM 重複追加を避けるには、まず既存エントリを削除してから追加する
certutil -delstore "Root" "<サムプリント>"
certutil -addstore "Root" "C:\Certificates\ProxyRootCA.crt"
4. 信頼済みルート証明書ストアの監視・監査
不正なルート証明書がストアに紛れ込むことは、中間者攻撃(盗聴)のフリーパスを許すことを意味します。アドウェアやマルウェアはインストール時に自分のルート証明書を密かに信頼済みストアに追加することで、ブラウザ警告なしにHTTPS通信を傍受します。定期的な監査が重要です。
現在のルート証明書を一覧化・監査する
# ローカルコンピューターの全ルート証明書を発行者付きで一覧化
Get-ChildItem -Path "Cert:\LocalMachine\Root" |
Select-Object Subject, Issuer, Thumbprint, NotAfter |
Sort-Object NotAfter |
Format-Table -AutoSize
# 有効期限が90日以内に切れる証明書を検出(障害予防)
$threshold = (Get-Date).AddDays(90)
Get-ChildItem -Path "Cert:\LocalMachine\Root" |
Where-Object { $_.NotAfter -lt $threshold } |
Select-Object Subject, Thumbprint, NotAfter |
Format-Table -AutoSize
# 発行者が組織内CAでも既知のパブリックCAでもない証明書を絞り込む(要調査対象の発見)
Get-ChildItem -Path "Cert:\LocalMachine\Root" |
Where-Object {
$_.Issuer -notlike "*Microsoft*" -and
$_.Issuer -notlike "*DigiCert*" -and
$_.Issuer -notlike "*Comodo*" -and
$_.Issuer -notlike "*GlobalSign*" -and
$_.Issuer -notlike "*<自組織のCAの名前>*"
} |
Select-Object Subject, Issuer, Thumbprint, NotAfter
3つ目のコマンドはあくまで「調査起点」です。既知CAのリストは組織の環境に合わせてカスタマイズしてください。未知の発行者が見つかっても、正規のソフトウェアが追加したものである場合もあるため、サムプリントでの照合と文脈確認が必要です。
不審な証明書の削除
# サムプリントで不審な証明書を削除
$thumbprintToRemove = "AABBCCDDEEFF..."
Get-ChildItem -Path "Cert:\LocalMachine\Root" |
Where-Object { $_.Thumbprint -eq $thumbprintToRemove } |
Remove-Item -Force
5. サードパーティブラウザへの対応(Firefox)
Windowsの証明書ストアを管理しても、Firefox はデフォルトでOSの証明書ストアではなく独自の証明書ストアを使用します。そのため、GPOでルート証明書を配布してもFirefoxでは警告が出続けます。
対処法①:OSの証明書ストアを読み込む設定(GPO)
Firefox向けのADMXテンプレートを使ったGPOで、security.enterprise_roots.enabled を有効にします。
コンピューターの構成
→ 管理用テンプレート
→ Mozilla → Firefox
→ Certificates
→ "Use the Windows certificate store" → 有効
対処法②:policies.json による設定(MDM・スクリプト配布)
{
"policies": {
"Certificates": {
"ImportEnterpriseRoots": true
}
}
}
このファイルを C:\Program Files\Mozilla Firefox\distribution\policies.json に配置します。
# policies.json の内容を確認
$policiesPath = "C:\Program Files\Mozilla Firefox\distribution\policies.json"
if (Test-Path $policiesPath) {
Get-Content $policiesPath | ConvertFrom-Json | ConvertTo-Json -Depth 5
} else {
Write-Warning "policies.json が存在しません。配布が必要です。"
}
security.enterprise_roots.enabled = true という表記は about:config でのキー名です。GPOや policies.json で設定する場合は上記の ImportEnterpriseRoots: true を使用してください。両者は同じ効果を持ちますが、設定インターフェースが異なります。
まとめ
プロキシと証明書ストアの管理は、「通信を通すため」だけでなく、インフラ全体の信頼チェーンを維持するための重要タスクです。
今すぐ実行すべき確認コマンド
# 1. 現在のルート証明書を一覧化(監査の起点)
Get-ChildItem "Cert:\LocalMachine\Root" |
Select-Object Subject, Thumbprint, NotAfter | Sort-Object NotAfter | Format-Table -AutoSize
# 2. 有効期限が90日以内に切れる証明書を検出
$threshold = (Get-Date).AddDays(90)
Get-ChildItem "Cert:\LocalMachine\Root" |
Where-Object { $_.NotAfter -lt $threshold } |
Select-Object Subject, Thumbprint, NotAfter
# 3. プロキシのルート証明書が正しく配布されているか確認(発行者名は環境に合わせて変更)
Get-ChildItem "Cert:\LocalMachine\Root" |
Where-Object { $_.Subject -like "*ProxyRootCA*" } |
Select-Object Subject, Thumbprint, NotAfter
要塞化のチェックポイントをまとめると以下の通りです。
- ローカルコンピューター側に配置する: ユーザー権限での改ざんを防ぐ。
- GPOで配布する: 手動インポートは抜け漏れが起きる。ドメイン環境では必ずGPO。
- 定期的な監査: 野良ルート証明書(アドウェア・マルウェアが埋め込んだもの)がないかチェック。
- 有効期限の監視: 期限切れは社内全体のネットワーク遮断につながる。90日前アラートを仕組み化する。
- Firefoxを忘れない: OSの証明書ストアを参照しないブラウザ・アプリケーションは個別対応が必要。
正しいストア管理によって、セキュリティの可視化と業務の安定性を両立させましょう。
次回は、「第19回:Windowsにおけるパケットキャプチャ:netsh traceとWiresharkの内部構造」 をお届けします。お楽しみに!