【EPS技術記事】「 CertUtil 」コマンドを使ってクライアント証明書をインポートする方法 ~ Windows 10 編~

アイキャッチ
目次

安全で利便性の高い認証情報として利用されることの多い電子証明書(デジタル証明書)。
今回はWindows 10 に標準で用意されている「 コマンド(CertUtil)」を使ってインポート(インストール)してみます。

このコマンドを使いこなすことで、多くの企業で採用されている「スクリプトを利用した一括展開」環境をスムーズに実現できるかもしれません。


【調査データ】 企業で採用されている電子証明書の配布方法 | ネットアテスト

2022年6月1日~2022年6月2日でインターネットアンケート調査(企業ネットワーク及び関連システムに関する調査)を実施し、1,114件の回答を得ました。この記事は、その結果の中から「電子証明書の配布」について整理しています。

netattest.com

og_img

証明書インポートファイルの用意

  1. 「証明書インポートファイル」を用意します。
    証明書インポートファイル(p12)の用意

今回は、当社製品「NetAttest EPS」から発行した PKCS#12形式 の証明書インポートファイルを使用しています。

CertUtilコマンドを実行

コマンドプロンプトを起動します。
クライアント証明書を「個人」ストアにインポートしたい場合は、下記を実行します。

CertUtil [オプション] -importPFX <証明書ファイルのパス> [Modifilers]

【オプション】

-f強制的に上書きします。
-user

コマンド実行ユーザーの[個人]ストアにインポートします。
(未指定の場合は、コンピュータストアにインポートします)

-vメッセージを詳細に表示します。
-p <パスワード>

証明書ファイルのインポート用パスワードを指定します。
(未指定の場合は、コマンド実行時に入力を求められます)

【Modifiers】

NoExport秘密キーをエクスポート不可にします。
電子証明書を端末認証に利用する場合は「NoExport」オプションを有効にします。
NoCert証明書をインポートしません。
NoChain証明書チェーンをインポートしません。
NoRoot証明書ファイルにルート証明書が含まれている場合にも、ルート証明書はインポートし ません
Protectキーをパスワードで保護します。
NoProtectキーをパスワードで保護しません。

オプションで「-user」を指定して実行すると、ローカルユーザー(コマンド実行ユーザー)のスト アに電子証明書がインポートされます。

【例】 ローカルユーザーの[個人]ストアに、秘密鍵のエクスポート禁止した状態でインポートする。

C:\Users\宮崎洋二>CertUtil -user -p password -importPFX C:\Users\宮崎洋二\Documents\Certificates\ymiyazaki.p12 noExport
証明書 "ymiyazaki" がストアに追加されました。

CertUtil: -importPFX コマンドは正常に完了しました。

(証明書ファイルにルート証明書が含まれている場合)「セキュリティ警告」ダイアログが表示され ます。 [はい(Y)]ボタンを押下すると、ローカルユーザーの「信頼されたルート証明機関」ストアにインポー トされます。

CertUtil 実行時に表示されるセキュリティ警告ダイアログ

以上で、CertUtilコマンドを使用した電子証明書のインポートは完了です。

補足:コンピュータストアに証明書をインポートする

オプションで「-user」を指定せずに実行すると、ローカルコンピュータのストアに電子証明書がインポートされます。コンピュータのストアに証明書をインポートする場合にはコマンドを管理者で実行する必要があります。

【例】ローカルコンピュータの[個人]ストアに、秘密鍵のエクスポート禁止した状態でインポートする。

C:\Windows\system32>CertUtil -p password -importPFX C:\Users\宮崎洋二\Documents\Certificates\ymiyazaki.p12 noExport
証明書 "ymiyazaki" がストアに追加されました。

CertUtil: -importPFX コマンドは正常に完了しました。

(「セキュリティ警告」は表示されません)

以上です。


ご参考

「電子証明書による認証」で企業ネットワークのセキュリティを高める。


【ウェビナー】企業無線LANの必須要件 ~ガイドラインが求める認証でセキュリティを強化する方法~ | ネットアテスト

Wi-Fi 6で変わるトコロと変わらないトコロ。企業が無線LANを導入・検討する際に絶対に外してはいけないポイントとは?今回は、企業無線LANの "あるべき姿"を、その成否を分ける認証セキュリティに注目し解説します。

netattest.com

og_img

【ウェビナー】リモートアクセスの必須要件 ~ガイドラインが求める認証でセキュリティを強化する方法~ | ネットアテスト

netattest.com

og_img


記事を書いた人

ソリトンシステムズ・テクニカルチーム