同じルート証明書が2つインストールされた場合のSSL通信への影響について気になったので調査してみました。
というのも、ルート証明書の手動インポートをしようと考えたのですが、オフライン環境なのですが、Windows10の端末に入っているルート証明書がバラバラで、端末台数が多い場合、すべての端末のルート証明書をチェックして差分を比較しながらGPOで展開するのは大変だと考えたためです。
この事についてはフォーラムにも質問がありましたので、共有します。
こちら、
Internet Explorerで、同じルート証明書が2重登録になってしまった場合の問題点
質問文が長いので一部抜粋となりますが、ルート証明書が重複した場合の影響についての問い合わせになります。
会社でトレンドマイクロ社のウイルスバスターCorp11.0を使用しています。
ウイルスバスターCorp11.0の最新パッチ6583をクライアントPCへ配信、アップデート対応の為に、各クライアントPCへルート証明書のインストールが必要になりました。
トレンドマイクロ社よりActive Directory のグループポリシーの機能を使用して、
ルート証明書を各クライアントPCへ一括配信するという方法を教えて頂き、1台テストしてみました。
配信はうまくいった様なのですが、InternetExplorerの証明書を確認したところ、
信頼されたルート証明機関へインストールする5つのルート証明書は、既にインストールされていた様で2重登録になっていました。
2重登録になっているルート証明書の違いは、Active Directoryで配信した方のフレンドリ名が<なし>になっている所です。
~
トレンドマイクロ社にルート証明書の二重登録に関して問い合わせをしたのですが、
「お客様には大変恐れ入りますが、ルート証明書につきましては
基本的にOS側の動作となるため、二重登録時の動作については
マイクロソフト社にお問い合わせ頂きたく存じます。
~
ルート証明書は同じものが2重登録になっても、特に問題ないものなのでしょうか。
ちなみに私も過去の経験で、すでにインストールされているルート証明書をGPOで配信した場合に、重複しているからはじかれるのではなく、複数入ることは確認しています。
そしてその回答です。
この件ですが、証明書に関して、ルート証明書・中間証明書等がカブってしまった場合ですが、とくに問題はありません。ルート証明書類は、SSLで提示されたサーバー証明書の「身元保証」として参照されますが、対象ストアにあるすべての内容から、適切なものが選択されるためです(厳密な動作説明資料は見たことがないですが、動作内容からこのように理解しています)。
適切なもの(同じもの)が2つあっても3つあっても、そのうちのどれかを選択することになるので、通信に齟齬は生じない理解です。
追記:ちなみに、証明書ストアは一般には「論理証明書ストア」で管理されますが、手動インポート(レジストリ)のほか、GPOによるインポート(グループポリシー)を使い分けるための「物理証明書ストア」も存在します。物理ストアが分かれているため、同一の証明書をひとつの論理ストアに同居させることができる、というわけです。
実際にルート証明書が重複されてしまった環境での動作確認ですが、確かに問題は発生しませんでした。ちなみに今回のルート証明書の話とは関係がないですが、マイクロソフトの無線設定の場合、コンピューター証明書が複数あると問題が発生することがありましたが、最近の設定では、証明書を選べるようなっているようです。
ルート証明書を重複してインポートすることがある場合は、参考になると思います。