技術記事・調査

【EPS技術記事】「 CertUtil 」コマンドを使ってクライアント証明書をインポートする方法 ~ Windows 10 編~

アイキャッチ
目次

安全で利便性の高い認証情報として利用されることの多い電子証明書(デジタル証明書)。
今回はWindows 10 に標準で用意されている「 コマンド(CertUtil)」を使ってインポート(インストール)してみます。

このコマンドを使いこなすことで、多くの企業で採用されている「スクリプトを利用した一括展開」環境をスムーズに実現できるかもしれません。


【調査データ】 企業で採用されている電子証明書の配布方法 | ネットアテスト

2022年6月1日~2022年6月2日でインターネットアンケート調査(企業ネットワーク及び関連システムに関する調査)を実施し、1,114件の回答を得ました。この記事は、その結果の中から「電子証明書の配布」について整理しています。

netattest.com

og_img

証明書インポートファイルの用意

  1. 「証明書インポートファイル」を用意します。
    証明書インポートファイル(p12)の用意

今回は、当社製品「NetAttest EPS」から発行した PKCS#12形式 の証明書インポートファイルを使用しています。

CertUtilコマンドを実行

コマンドプロンプトを起動します。
クライアント証明書を「個人」ストアにインポートしたい場合は、下記を実行します。

CertUtil [オプション] -importPFX <証明書ファイルのパス> [Modifilers]

【オプション】

-f強制的に上書きします。
-user

コマンド実行ユーザーの[個人]ストアにインポートします。
(未指定の場合は、コンピュータストアにインポートします)

-vメッセージを詳細に表示します。
-p <パスワード>

証明書ファイルのインポート用パスワードを指定します。
(未指定の場合は、コマンド実行時に入力を求められます)

【Modifiers】

NoExport秘密キーをエクスポート不可にします。
電子証明書を端末認証に利用する場合は「NoExport」オプションを有効にします。
NoCert証明書をインポートしません。
NoChain証明書チェーンをインポートしません。
NoRoot証明書ファイルにルート証明書が含まれている場合にも、ルート証明書はインポートし ません
Protectキーをパスワードで保護します。
NoProtectキーをパスワードで保護しません。

オプションで「-user」を指定して実行すると、ローカルユーザー(コマンド実行ユーザー)のスト アに電子証明書がインポートされます。

【例】 ローカルユーザーの[個人]ストアに、秘密鍵のエクスポート禁止した状態でインポートする。

C:\Users\宮崎洋二>CertUtil -user -p password -importPFX C:\Users\宮崎洋二\Documents\Certificates\ymiyazaki.p12 noExport
証明書 "ymiyazaki" がストアに追加されました。

CertUtil: -importPFX コマンドは正常に完了しました。

(証明書ファイルにルート証明書が含まれている場合)「セキュリティ警告」ダイアログが表示され ます。 [はい(Y)]ボタンを押下すると、ローカルユーザーの「信頼されたルート証明機関」ストアにインポー トされます。

CertUtil 実行時に表示されるセキュリティ警告ダイアログ

以上で、CertUtilコマンドを使用した電子証明書のインポートは完了です。

補足:コンピュータストアに証明書をインポートする

オプションで「-user」を指定せずに実行すると、ローカルコンピュータのストアに電子証明書がインポートされます。コンピュータのストアに証明書をインポートする場合にはコマンドを管理者で実行する必要があります。

【例】ローカルコンピュータの[個人]ストアに、秘密鍵のエクスポート禁止した状態でインポートする。

C:\Windows\system32>CertUtil -p password -importPFX C:\Users\宮崎洋二\Documents\Certificates\ymiyazaki.p12 noExport
証明書 "ymiyazaki" がストアに追加されました。

CertUtil: -importPFX コマンドは正常に完了しました。

(「セキュリティ警告」は表示されません)

以上です。


ご参考

「電子証明書による認証」で企業ネットワークのセキュリティを高める。


【ウェビナー】企業無線LANの必須要件 ~ガイドラインが求める認証でセキュリティを強化する方法~ | ネットアテスト

Wi-Fi 6で変わるトコロと変わらないトコロ。企業が無線LANを導入・検討する際に絶対に外してはいけないポイントとは?今回は、企業無線LANの "あるべき姿"を、その成否を分ける認証セキュリティに注目し解説します。

netattest.com

og_img

【ウェビナー】リモートアクセスの必須要件 ~ガイドラインが求める認証でセキュリティを強化する方法~ | ネットアテスト

netattest.com

og_img


記事を書いた人

ソリトンシステムズ・テクニカルチーム

Related Article

関連記事

Microsoft Azure上で動作しているRADIUSサーバーでEAP-TLS認証ができなかった理由と対処方法の画像
技術記事・調査

Microsoft Azure上で動作しているRADIUSサーバーでEAP-TLS認証ができなかった理由と対処方法

  • NetAttest EPS
  • ネットワーク
  • 技術解説記事
More
【OneGate技術記事】Jamf Proと連携した証明書の自動配布の画像
技術記事・調査

【OneGate技術記事】Jamf Proと連携した証明書の自動配布

  • Soliton OneGate
  • 技術解説記事
More
【EPS技術記事】Nutanix AHV 環境へのNetAttest EPS/NetAttest EPS-ap構築手順の画像
技術記事・調査

【EPS技術記事】Nutanix AHV 環境へのNetAttest EPS/NetAttest EPS-ap構築手順

  • NetAttest EPS
More
【EPS技術記事】Jamf Proと連携した証明書の配布の画像
技術記事・調査

【EPS技術記事】Jamf Proと連携した証明書の配布

  • NetAttest EPS
  • macOS
  • iOS
More
2023年版 セキュリティ実態調査
セキュリティ知識をCHECK! 腕試しに挑戦!!
フォルダーのアクセス権 管理作業が1/3に!
分離ネットワーク間で安全なファイル受渡し
自治体情報セキュリティチャンネル
重要情報を守る“認証強化” のススメ

Pickup ピックアップ

特集一覧

Category カテゴリー

Keyword キーワード

製造 金融 流通・小売 建設 医療 エネルギー 運輸 サービス 情報通信 中央省庁・独法 自治体・地方公共団体 教育・文教 認証 エンドポイント ネットワーク ゼロトラスト 販売店インタビュー メーカーインタビュー 社内インタビュー セミナーレポート 展示会・フェアレポート サイバーセキュリティ リモートアクセス テレワーク 社内LAN 無線LAN プロダクト検証 サプリカント設定 技術解説記事 調査報告 Windows iOS macOS Android DHCP/DNS Soliton OneGate NetAttest EPS NetAttest D3 SmartOn ID InfoTrace 360 Soliton SecureBrowser Soliton SecureDesktop WrappingBox FileZen S VVAULT コラム 調査レポート目次
2023年版 セキュリティ実態調査