暗号化証明書にまつわるトラブル

最終更新日時:2009年02月19日 02時25分39秒

暗号化証明書にまつわるトラブルと対策について、某所でも同じトラブルが起こって、ユーザーが困っていたのでちょっと紹介してみます。

トラブル内容

Windows Xpで暗号化を行おうとすると以下のメッセージが表示され、暗号化ができない状況となる。ドメイン内には証明書発行機関(CA)は特に存在しません。

[このシステムに対して構成された回復ポリシーに無効な回復証明書が含まれています]

トラブル事象がおこった原因

このトラブルがおこった原因は、暗号化ファイル システムでのサードパーティ認証機関のサポートの中にあるようにEFSの暗号化がきれた際に以下の症状がおこります。
詳しくは、関連サイトとして紹介しているサイトを参照ください。

対応方法とか

今回のトラブル対応に必要な項目としては、EFS 証明書の更新をおこなう必要があります。EFS 証明書については、その証明書がきれる前に本来は管理者が手動で更新をおこなう必要があるのだが、それをおこなわなかった為にエラーメッセージが表示されるようになったことが原因と考えられます。

トラブルを改善するにはEFS証明書を更新する必要があります。
この証明書はドメインが構築された際にドメイングループポリシーに含まれる形で存在し、3年ごとに更新をおこなう必要があります。手動で更新しないと、更新されない為、管理者が更新する必要があります。

この証明書がどういう役割を果たすかは、後ほど説明を追加します(^^;;

コマンドラインで証明書の作成をおこなう

Windows XPクライアントにドメインの管理者アカウントでログオンし、以下のコマンドを入力します。(Windows 2000にはこの機能はなく、この問題も関連サイトとして紹介しました*暗号化ファイル システム回復エージェントの証明書の失効状態はチェックされないの理由から、この状況はおこりません)

cipher /r: (ファイル名)

このコマンドを実行すると、EFS回復証明書を含んだ.CERファイル、証明書+秘密鍵を含んだ.PXEファイルが作成されます。
その後、その2つのファイルをドメインコントローラ上にコピーし、cipherコマンドを実行したユーザー名で、ドメインコントローラにログインします。
.PXEファイルを右クリックし、[.PXEファイルのインストール]を実行します。証明書のインストールウィザードが実行されるので、証明書のファイルパス、cipherコマンドの実行時に登録したパスワードを入力し、証明書のストア場所を[個人]にします。

その後、ドメインのグループポリシーを編集して、EFS回復証明書のマッピングをおこないます。[公開キーのポリシー]で、[新規作成]⇒[暗号化された回復エージェント]を選択し、[回復エージェントの追加ウィザード]で先ほどコピーした.CERファイルを選択します。

その際に[証明書は検証できませんでした]というメッセージが表示されるが、気にしないで先へ進みましょう。
その後、クライアントコンピュータの再起動をおこなって完了。

関連サイト

(Admintech.jp のWiki記事より転載)

▲このページのトップへ