SSLならセクティゴ・コモドのEV・企業・ドメイン認証

※IISサーバのみで発生する問題とその解決法をお知らせしております。

WEBサーバがIISでない方、及び発行された証明書のルートがR46やE46ではない方は無視してください

「クロスルート」の仕組みは弊社以外でもあらゆる認証局で採用される古い端末からのアクセスを救済すると同時に最新のルート証明書への世代交代も兼ねて複数のルートパスを相互署名という形で提供する方法ですが とても残念なことに、マイクロソフト社のIISサーバーは、TLSハンドシェイクで新旧の接続端末ごとに判断されるべき代替パスを使用する前に、IISサーバー自身の内部で証明書パスを完成させようと誤って試みてしまっている(IISの不完全なバグ)ためにIISサーバーは古いクライアントが提供する証明書を信頼できない状態を作り出してしまう可能性があります。

(なぜなら本来SSLの閲覧者の使用端末の状態は様々な状態であり、常にIISサーバ自身と同じ最新のルート証明書が選択される状況(最適解)であるはずもないですし他のすべての接続クライアント(閲覧者)が自分自身のサーバーと同じように信頼されるルート証明書がアップデート更新されているとは限らなくクライアントに強制をすることはできないと考えるべきだからです)

一番簡単な回避策としては、IISサーバー本体で新しいR46ルートを一時的に「許可しない」ようにし、クロス証明書を使用してクライアントに提供するように強制することしかありません

(削除するのもいいですしグループポリシーなどでこのルート証明書が復活してきて困る場合には)

ルート証明書(Sectigo Public Server Authentication Root R46)を「ローカル・コンピュータ」証明書ストアの「信頼されていない証明書」フォルダに移動する必要があります。

もしも楕円暗号で秘密鍵を生成している場合には楕円暗号のルート証明書(Sectigo Public Server Authentication Root E46)を対象にお読み替えください



問題を解決のために、レガシー端末向けに展開されるべき適切な証明書階層チェーンを妨げているルート証明書の使用を無効にする必要があります。
以下の手順に従ってください。


mmcと入力し、OKをクリックしてMicrosoft管理コンソールを開きます。管理者としてログインしていることを確認してください。

[ファイル]をクリックし、[スナップインの追加と削除]オプションを選択します。

[証明書」を選択し、「追加」OK をクリックします。

[コンピュータアカウント]を選択し、[次へ]をクリックします。

[ローカルコンピュータ]ラジオボタンを選択し、[完了]をクリックします。

これにより証明書マネージャが開き、信頼されたストア(Windowsサーバに統合されているルート証明書と中間証明書)に追加された証明書を確認することができます。 「信頼されたルート証明機関」を展開し、「証明書」フォルダをクリックします。サーバーにインポートされたすべてのルート証明書がここに表示されます。対象の証明書もここにあります。 添付画像のようにMMCで対象証明書の移動を実施してください 以上の設定でアップ―デートの行き届かない古いクライアント端末でも信頼チェーンの確立を実施することが可能になりました!