どなたか方法をご存知の方がいらっしゃいましたらご教示ください。
<目的>
証明書ストアの選択で「信頼されたルート証明機関」を選択し、独自のルート証明書をインストールできるようにしたい。
<背景>
本社と支店間にブランチキャッシュを導入、ホスト型キャッシュサーバーモードのためドメイン環境で証明機関を運用し、ルート証明書を自動配布したところ、ドメインユーザーから独自のルート証明書をインストールする際に、証明書ストアの選択で「信頼されたルート証明機関」が選択できなくなった。ただし、保存場所がローカルコンピュータの場合は「信頼されたルート証明機関」が選択可能。
<調査>
ルート証明書を自動配布する際に、グループポリシー管理エディターより「証明書パス検証のプロパティ」->「ストア」で、「ユーザーが信頼するルート証明機関(CA)の検証に使用されることを許可しない、ユーザーがピア信頼証明書を信頼することを許可しないに設定。グループポリシーの適用によりユーザーが独自のルート証明書をインストールできなくなった可能性がある。
試しに、ローカルセキュリティーポリシーの証明書から、独自のルート証明書をインポートするとエラー「ストアが読み取り専用か、ストアがいっぱいか、ストアが正しく開かなかったため、インポートができませんでした」が発生した。
よって、これらのポリシーの設定を一旦元に戻したが状況は変わりませんでした。
<課題>
何らかの原因で意図したグループポリシーが反映できていない可能性がある。
