プロセルピナ
Top Internet
Mail
Private
Proxy
Capture
Device
Download Config
and
Words
Online
Help
Online
Home
[BACK]
Top > 目的別Help > 自己署名証明書 > 証明書登録 > for S/MIME


Windowsの証明書ストアに、自己署名証明書を登録(インポート)する


自己署名証明書 (.cerファイル.pfxファイルのペア) を、S/MIME用 (=プライベートプロキシ用途以外) で作成し、 それらを使って証明書と秘密鍵をWindows証明書ストアにインポートすることで、 S/MIMEの 暗号化メール(デジタル封書) 、及び デジタル署名入りのメール を利用することができます。

自分の自己署名証明書を作成したときに行う手順は、
  (1) .pfxファイルを使用して秘密鍵を「個人」にインポートする
  (2) .cerファイルを使用して証明書を「信頼されたルート証明機関」にインポートする
の2ステップです。

相手の自己署名証明書(.cerファイル)を 受け取った場合に行う手順は、
  (3) 受け取った証明書を、証明書ストアの「ほかの人」にインポートする
  (4) 受け取った証明書を、証明書ストアの「信頼されたルート証明機関」にインポートする
の2ステップです (どちらのステップも、受け取った.cerファイルを使用します).cerファイル

自己署名証明書の作成時に、 プライベートプロキシ用途以外を選択すると、 メールアドレスを指定する欄が表示されます。 S/MIMEで使用する場合、そこに自分のメールアドレスを1つ指定します (複数のメールアドレスがある場合、複数の自己署名証明書を作成します)。
プライベートプロキシ用途で作成した自己署名証明書には、メールアドレスが含まれていません。 「プロセルピナ」では、このような証明書を使用しても メールにデジタル署名したり、暗号化したりすることができますが、 他のメーラでは使用することができないことがあります。

自分宛に送られてきた、暗号化されたメールの暗号化を解除するには、 自分の秘密鍵と証明書を Windows証明書ストアの「個人」のセクション にインポートしておく必要があります。 インポートには.pfxファイルを使用します。
受信したメールが、 インポートした秘密鍵とペアになっている証明書(=公開鍵)で暗号化されていた場合、 「プロセルピナ」は暗号化を解除して表示することができます。
メール送信者が、あなたの公開鍵でメールを暗号化できるように、 事前に.cerファイルを渡しておく必要があります。

暗号化と同時にデジタル署名も行われていたメールの場合は、 デジタル署名に使用された証明書(=送信者の証明書) の検証も行われ、結果はポップアップで表示されます。 デジタル署名に (メール送信者の)自己署名証明書が使用されていた場合、 認証局(CA)の署名ではなく自分自身で証明書に署名しているので、 検証結果はエラー(信頼できない証明書)になります。 署名がエラーでも暗号化の解除は問題なく実施されますが、このエラー表示を防ぐには、 メール送信者の自己署名証明書を Windows証明書ストアの「信頼されたルート証明機関」 にインポートしておきます (.cerファイルを使用します)。 詳細は下記(3)、(4)を参照してください。

「プロセルピナ」で送信するメールに署名する場合は、 秘密鍵ファイル(.pfxファイル)を使用します。 Windows証明書ストアは使用していないので、インポート前でも署名することができます。


 
(1) .pfxファイルを使用して秘密鍵を「個人」にインポートする

自分宛に来た暗号化されたメールを読むには、 秘密鍵がWindows証明書ストアに格納されている必要があります。
View部メインフォームのトップメニューから、 「環境設定(Env) > 証明書(Certificate) > View / Import Certificates in CertificateSystemStores...」 を選択し、 「Certificate Manager」フォーム を開きます。 これは、CurrentUserの証明書を管理するフォームです (LocalMachineの証明書を管理するフォームではありません)。

「個人」のタブを選択し、[インポート]ボタンを押して 「証明書のインポートウィザード」 を開始します。 "インポートする証明書ファイル" を尋ねられますので、作成した .pfxファイル を指定します。
パスワードは、.pfxファイルを作成する時に指定したものを指定します。 証明書のストアに成功すると、「個人」のタブで表示される証明書の一覧に 作成した自己署名証明書が表示されるようになります。


 
(2) .cerファイルを使用して証明書を「信頼されたルート証明機関」にインポートする

作成した証明書(自己署名証明書)を検証した時に、 「信頼できない証明書」という検証エラーを表示させない為には、 証明書をWindows証明書ストアの「信頼されたルート証明機関」に格納します。
Step 1で開いた 「Certificate Manager」フォーム から、 「信頼されたルート証明機関」のタブを選択し、[インポート]ボタンを押して 「証明書のインポートウィザード」 を開始します。 "インポートする証明書ファイル" を尋ねられますので、作成した .cerファイル を指定します。
証明書のストアに成功すると、「信頼されたルート証明機関」のタブで表示される証明書の一覧に 作成した自己署名証明書が表示されるようになります。


 
(3) 受け取った証明書を、証明書ストアの「ほかの人」にインポートする

「プロセルピナ」を使用する場合、メールの暗号化にWindows証明書ストアは使用しません (.cerファイルを使用します)。
例えば、Aさんの証明書(.cerファイル、認証局の署名がある証明書、または自己署名証明書)を使用し、 Aさんに暗号化されたメール(デジタル封書)を送る場合、 Aさんの証明書をWindows証明書ストアにインポートしなくても、 Aさん宛に暗号化したメールを送ることができます。

他のメーラ(Outlook Expressなど)を使用する場合、 この(3)のステップと、次の(4)のステップを行うことで、 「プリセルピナ」などで作成された自己署名証明書を暗号化に使えるようになります (Windows証明書ストアを使わず、独自に証明書を管理しているメーラでは、 また別の方法が必要になります。 例:Mozilla Thunderbird)。
例えば、Aさんが「プロセルピナ」を使用して自己署名証明書を作成し、 Bさんが「Outlook Express」を使用していて認証局(CA)の署名のある証明書を持っていたとします。 メールを暗号化するにはお互いの.cerファイルを交換します。 Aさんは、Bさんから受け取った.cerファイルをそのまま使用して暗号化メールを送ることができます。 一方Bさんは、Aさんから貰った証明書を Windows証明書ストアの「ほかの人」 にインポートしますが(この(3)の手順です)、 この証明書はAさんが作成した自己署名証明書なので、 そのままでは「Outlook Express」で使用することができません。 Bさんは、この(3)の手順だけでなく、次の(4)手順で証明書を Windows証明書ストアの「信頼されたルート証明機関」 にインポートする必要があります。

証明書のインポートは、「Certificate Manager」フォームから行います。
「プロセルピナ」から「Certificate Manager」フォームを開くには、 View部メインフォームのトップメニューから、 「環境設定(Env) > 証明書(Certificate) > View / Import Certificates in CertificateSystemStores...」 を選択します。
「Outlook Express」から「Certificate Manager」フォームを開くには、 「ツール(T) > オプション(O)... 」で「オプション」のフォームを開き、 「セキュリティ」のタブから [デジタルID(I)...]ボタン を押します。

この「Certificate Manager」フォームは、CurrentUserの証明書を管理するフォームです (LocalMachineの証明書を管理するフォームではありません)。
「Certificate Manager」フォームから「ほかの人」のタブを選択し、 [インポート(I)...]ボタン を押して 「証明書のインポートウィザード」 を開始します。 "インポートする証明書ファイル" を尋ねられますので、入手した .cerファイル を指定します。

インポートが完了すると、Windows証明書ストアの「ほかの人」セクションの一覧に 追加した証明書が表示されます。 その証明書を選択して [表示(V)]ボタン を押し、開いた「証明書」フォームで内容を確認します。 自己署名証明書なので、 下記の(4)の手順が完了していない間は、「証明書は信頼されていません」と表示されます。 「証明書」フォームの「詳細」タブから、 「フィールド」に「サブジェクトの別名」の項目を探し、 それを選択して内容(RFC822 Name=メールアドレス)を確認します。

 
(4) 受け取った証明書を、証明書ストアの「信頼されたルート証明機関」にインポートする

自己署名証明書を検証すると、「信頼できない証明書」とエラー判定されます。 これは証明書に入っている署名が、 認証局(CA)のものではなく自分自身の署名な為です。
検証でエラー判定にしない為には、証明書を予めWindows証明書ストアの「信頼されたルート証明機関」に インポートしておきます。 例えば、Aさんから自己署名証明書で署名したメールを受信したとします。 事前にAさんから自己署名証明書ファイル(.cerファイル)を受け取っていて、それが Windows証明書ストアの「信頼されたルート証明機関」にインポートされているなら、 証明書の検証はエラーになりません。 インポートされていなかった場合は「信頼できない証明書」とエラー判定されます。

他の人が作成した自己署名証明書を「信頼されたルート証明機関」にインポートするかどうかは、 慎重に判断します。 Windows証明書ストアは他のWindowsアプリケーションも使用し、 「信頼されたルート証明機関」にインポートされている証明書は絶対的に信頼されます。 「信頼されたルート証明機関」へのインポートは、 証明書を、信頼できる人から信頼できる方法で受け取った場合にのみ行うようにします。
「信頼できない証明書」とエラー判定された場合でも、 メールの内容が読めなくなったり、改竄が検出できなくなるわけではありません。 「信頼されたルート証明機関」にインポートしたくない証明書は、.cerファイルのまま置いておき、 そのサムプリントを署名メールに使用された証明書のサムプリントを比較するなどの方法で 信頼性を検証します。

他のメーラ(Outlook Expressなど)を使用する場合、 この(4)のステップで、 入手した自己署名証明書を「信頼されたルート証明機関」にもインポートしなければ、 メールを暗号化して送ることができないものがあります。
例えば「Outlook Express」の場合、宛先の自己署名証明書を 上記の(3)のステップで Windows証明書ストアの「ほかの人」 にインポートするだけでは、 その証明書を使用することができません。 これは「信頼できない証明書」とエラー判定される証明書は、 使用できない仕様になっている為です。
また、Windows証明書ストアを使わず、独自に証明書を管理しているメーラでは、 別の方法で証明書を登録する必要があります (例:Mozilla Thunderbird)。

証明書のインポートは、「Certificate Manager」フォームから行います。
「プロセルピナ」から「Certificate Manager」フォームを開くには、 View部メインフォームのトップメニューから、 「環境設定(Env) > 証明書(Certificate) > View / Import Certificates in CertificateSystemStores...」 を選択します。
「Outlook Express」から「Certificate Manager」フォームを開くには、 「ツール(T) > オプション(O) 」で「オプション」のフォームを開き、 「セキュリティ」のタブから[デジタルID]のボタンを押します。

この「Certificate Manager」フォームは、CurrentUserの証明書を管理するフォームです (LocalMachineの証明書を管理するフォームではありません)。
「Certificate Manager」フォームから「信頼されたルート証明機関」のタブを選択し、 [インポート(I)...]ボタンを押して 「証明書のインポートウィザード」 を開始します。 "インポートする証明書ファイル" を尋ねられますので、入手した .cerファイル を指定します。


 
■ 「プロセルピナ」で作成した自己署名証明書を、「Outlook Express」で使用する

→ 自己署名証明書を、「Outlook Express」で使用する


 
■ 「プロセルピナ」で作成した自己署名証明書を、「Mozilla Thunderbird」で使用する

→ 自己署名証明書を、「Mozilla Thunderbird」で使用する


 
■ その他のメーラで「プロセルピナ」で作成した自己署名証明書を使用する

Windows証明書ストアを使用するメーラであれば、 「Outlook Express」で自己署名証明書を使用できるように設定すると 同じように使用できます。
→ 自己署名証明書を、「Outlook Express」で使用する
[BACK]
プロセルピナ