none
ルート証明書の重複について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票
    どなたかご知見をお持ちの方がいらっしゃいましたらご教示ください。

    Microsoft Update が受けられない環境に存在する Windows Server 群へGPOでルート証明書を数種類
    配布する方針です。

    配布を受けるWindows Server の中には、GPOで配布される証明書の一部を既に持っているものもあります。
    この場合、対象サーバーの証明書管理ストアに同じ証明書が二つ配置されることになるのですが
    特に問題無いでしょうか。
    2020年10月15日 5:16
    |

回答

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    拇印が同じ証明書は重複してインストールされないのでは?

    Hebikuzure aka Murachi Akira

    2020年10月15日 6:47
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ご回答ありがとうございます。
    検証しましたが、どうも入ってしまうようです。
    (GPOで撒いた方はなぜかフレンドリ名が抜けてしまうようですが...)

    2020年10月15日 9:22
    |
  • Question
    サインインして投票
    0
    サインインして投票

    拇印を含めて全く同じ証明書なのでしょうか?

    Hebikuzure aka Murachi Akira

    2020年10月15日 11:03
    |
  • Question
    サインインして投票
    0
    サインインして投票
    ご返信ありがとうございます。
    手動のインストールとGPOの配布では同一の証明書ファイルを利用しています。
    よって、同じ証明書を同じWindowsサーバーへ重複してインストールすることは、できてしまうことは
    間違い無いと思います。

    これが問題無い構成なのか、避けるべき構成なのか判断できておりません。
    #OUでWindowsサーバーを分けるようなことは、運用上の制約でできないため
     GPOは最上位のポリシーとして全体に配布します。
    2020年10月15日 11:32
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、過去に似た問い合わせについて、回答した過去ログがありますので、以下を参考にしてください。結論として、問題はありません。

    https://social.technet.microsoft.com/Forums/ja-JP/47508d44-7ddc-4a19-896d-39f02975b63e?WT.mc_id=EM-MVP-8322

    ----
    追記:ちなみに、証明書ストアは一般には「論理証明書ストア」で管理されますが、手動インポート(レジストリ)のほか、GPOによるインポート(グループポリシー)を使い分けるための「物理証明書ストア」も存在します。物理ストアが分かれているため、同一の証明書をひとつの論理ストアに同居させることができる、というわけです。
    ----

    したの資料も参考になりますね。

    https://forsenergy.com/ja-jp/certmgr/html/25789028-bfc8-48f5-9432-82e74ea48d59.htm

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2020年10月15日 12:24
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    お世話になっております。
    まさに欲しかったご回答ありがとうございます。
    検証環境で物理ストアを表示してみたところ、仰る通り「サードパーティ」ストアと
    「グループポリシー」ストアにそれぞれ重複していた証明書が表示されました。
    2020年10月16日 0:16
    |