【Windows】クライアント証明書を確認する方法

クライアント証明書とは何か？

クライアント証明書とは、ユーザーやデバイスの身元を証明するためのデジタル証明書です。サーバー側がクライアント（ユーザーのPC）を認証するために使用され、主にSSL/TLS通信における双方向認証（mTLS）に利用されます。

通常のパスワード認証とは異なり、クライアント証明書は暗号化された秘密鍵と公開鍵のペアを使用するため、より高いセキュリティレベルを実現できます。企業のイントラネットへのアクセス、VPN接続、電子署名、オンラインバンキングなど、高いセキュリティが求められる場面で広く利用されています。

クライアント証明書の確認が必要になる場面

Windowsで証明書の確認が必要になる主な場面は以下のとおりです。

• ①有効期限の確認：クライアント証明書には有効期限があり、期限切れになると認証ができなくなります。定期的に確認することが重要です。
• ②インストール済みかどうかのチェック：新しいPCに移行した場合や、証明書を再発行した後に正しくインストールされているか確認する必要があります。
• ③セキュアブートの設定確認：WindowsのSecure Boot（セキュアブート）に関連する証明書が正常かどうかの確認が必要な場合があります。
• ④Windows Update後の確認：Windows Updateが実施された後、証明書の状態が変化することがあるため、適宜確認することをお勧めします。
• ⑤パソコンが起動しない・立ち上がらないトラブル対応：証明書に関連した問題がパソコンの起動トラブルにつながるケースもあります。

方法1．ブラウザのコンテキストからWindowsの証明書を確認する

最も手軽に証明書を確認する方法は、使用中のウェブブラウザから確認する方法です。Microsoft EdgeやGoogle Chromeでは、SSL/TLS接続に使用されているサーバー証明書や、クライアント認証時に選択されたクライアント証明書の詳細を確認できます。

Microsoft Edge / Google Chromeでの手順

Microsoft EdgeまたはGoogle Chromeで証明書を確認する手順は以下のとおりです。

• ブラウザの右上にある「設定（3つの点）」をクリックし、「設定」を開きます。

• 左メニューの「プライバシー、検索、サービス」（Edge）または「プライバシーとセキュリティ」（Chrome）を選択します。

• 「証明書の管理」（または「デバイス証明書の管理」）をクリックします。

  

• ポップアップが表示され、インストールされている証明書の一覧が表示されます。

証明書選択画面での見方

「個人」タブに表示されているのが、あなた自身に発行されたクライアント証明書です。「発行先」が自分の名前や社員番号、「発行者」が認証局の名前になっていることを確認してください。

方法2．Windowsの「証明書マネージャー」からWindowsの証明書を確認する

OS全体の証明書を詳細に管理したい場合は、Windows標準の管理ツールを使用します。これが最も確実なWindows 11の証明書確認方法です。

MMC（管理コンソール）の起動方法

• Windowsキー + Rを押して「ファイル名を指定して実行」ダイアログを開きます。

• テキストボックスに certmgr.msc と入力し、Enterキーを押します。

  

• 「証明書 - 現在のユーザー」という管理コンソールウィンドウが開きます。

  

証明書の格納場所

左側のツリー表示から、以下のパスを辿ります。

• 「個人」＞「証明書」：ここにユーザー用のクライアント証明書が格納されています。
• 「信頼されたルート証明機関」：通信の安全性を担保するための基盤となる証明書が入っています。

詳細情報の確認方法

確認したい証明書をダブルクリックすると詳細が表示されます。「全般」タブで有効期限が、「詳細」タブでシリアル番号やアルゴリズムが確認可能です。

方法3．コマンドプロンプト / PowerShellで証明書を確認する

コマンドラインを使った証明書の確認方法は、IT管理者やシステム管理者にとって特に有用です。スクリプト化して大量のPCを一括管理したり、特定の条件の証明書だけを抽出したりすることが容易になります。Windowsの証明書をコマンドで確認する代表的な方法を紹介します。

PowerShellを管理者として起動し、以下のコマンドを実行すると、現在のユーザーの個人証明書ストアにある証明書を一覧表示できます。

Get-ChildItem -Path Cert:\CurrentUser\My

コンピューター全体の証明書を確認する場合は次のコマンドを使用します。

Get-ChildItem -Path Cert:\LocalMachine\My

有効期限が近い証明書（例：90日以内に期限切れになるもの）を抽出するには、以下のコマンドが便利です。

Get-ChildItem -Path Cert:\CurrentUser\My | Where-Object { $_.NotAfter -lt (Get-Date).AddDays(90) } | Select-Object Subject, NotAfter, Thumbprint

証明書の詳細情報を確認するには、次のコマンドを使用します。

Get-ChildItem -Path Cert:\CurrentUser\My | Format-List *

コマンドプロンプトやPowerShellからcertutilコマンドを使用することでも証明書の確認が可能です。

個人証明書ストアの一覧を表示するには：

certutil -store My

信頼されたルート証明機関の一覧を表示するには：

certutil -store Root

特定の証明書の詳細を表示するには（サムプリントを指定）：

certutil -store My "証明書のサムプリント"

WindowsのSecure Boot（セキュアブート）に関連する証明書の状態を確認するには、PowerShellで以下のコマンドを実行します。

Confirm-SecureBootUEFI

Secure Bootが有効であればTrueが返されます。無効な場合はFalseが返されます。SecureBootに関連する証明書データベース（db、dbx、KEK、PK）の詳細を確認するには：

Get-SecureBootUEFI -Name db | Format-List

有効期限が切れていた場合の対処法

Windowsの証明書の有効期限が切れていた場合、認証エラーが発生したり、特定のサービスやウェブサイトにアクセスできなくなったりする可能性があります。以下の手順で対処してください。

• ①証明書の再発行を申請する：クライアント証明書を発行した認証局（CA）や担当部署に連絡し、新しい証明書の発行を申請します。企業内で使用している場合は社内のIT部門やシステム管理者に連絡してください。
• ②古い証明書を削除する：期限切れの証明書は証明書マネージャーから削除することを推奨します。certmgr.mscを開き、対象の証明書を右クリックして「削除」を選択します。ただし、削除前に証明書のバックアップを取ることをお勧めします。
• ③新しい証明書をインストールする：発行された新しい証明書ファイル（.pfxや.p12形式）をダブルクリックし、証明書インポートウィザードに従ってインストールします。パスワードが設定されている場合は入力が必要です。
• ④Windowsの自動更新を確認する：一部の証明書（特にWindowsのシステム証明書）はWindows Updateによって自動的に更新されます。Windows Updateが最新の状態であることを確認してください。

重要

証明書のバックアップは非常に重要です。証明書マネージャーで証明書を右クリックし、「すべてのタスク」→「エクスポート」を選択することで、証明書をファイルとして保存できます。秘密鍵も含めてエクスポートする場合はPFX形式を選択してください。

PCが起動不能になる場合の対処法

証明書の問題や、Windows Updateの適用後（6月アップデートなどの大規模更新時）の不具合や、Windows セキュアブート（Secure Boot）の設定変更、あるいは証明書関連のシステムファイル破損により、パソコンが起動しない・立ち上がらないといった深刻なトラブルが発生することがあります。

もし証明書の設定変更やシステム更新後にPCが正常にパソコンが起動しなくなってしまった場合、重要なデータを諦める前にデータ復元ソフト「Tenorshare 4DDiG」を試してみてください。

4DDiGは、クラッシュしたPCからでも起動用ドライブを作成し、内部のドキュメントや写真、証明書データなどを安全に救出できる強力なツールです。操作も簡単で、専門知識がなくても復元作業が可能です。

Tenorshare 4DDiGを使って起動しないパソコンからデータを復元する手順は以下のとおりです。

• 動作可能なPCと、1.5GB以上のストレージスペースを持つUSBドライブ/CD/DVDを用意します。動作可能なPCに4DDiGをインストールします。Tenorshare 4DDiGを起動し、USBドライブを接続します。4DDiGの画面で「クラッシュしたPCの復元」クリックして続行します。

  

• 次に、起動可能なUSBドライブを選択できます。ドライブが接続されている場合は、起動可能なドライブに表示されます。「今すぐ作成」ボタンをクリックして開始します。 USB / DVDは、ブータブルドライブを作成するためにフォーマットされることに注意してください。また、作成中はドライブを操作しないでください。

  

• 次は、USBフラッシュドライブをフォーマットしますかというメッセージが表示されます。USBメモリをフォーマットすると、ファームウェアがダウンロードされます。起動可能なドライブの作成プロセスが完了するまで数分かかります。この間に、USBフラッシュドライブを取り出しないでください。

  

• しばらくすると、起動可能なドライブが正常に作成され、起動しないPCに起動可能なドライブを挿入してから、PCを再起動します。BIOSに入ったら、矢印キーを使用してブートタブに切り替え、ブートデバイスを選択します。その後、クラッシュしたシステムがファイルのロードを開始し、構成が完了するまでしばらくお待ちください。これでTenorshare 4DDiGが自動的に起動し、場所を選択してデータの復元を開始できます。

  

Windowsの証明書に関するよくあるご質問

1．Windowsの証明書はどこにインストールされていますか？

通常、ユーザー個人の証明書は「レジストリ」または「証明書ストア」と呼ばれるシステム領域に安全に保管されています。物理的なファイル（.pfxや.p12）としてインポートした後は、OSが管理するデータベース内に格納されます。

2．Windowsの証明書の有効期限はいつまでですか？

「証明書マネージャー（certmgr.msc）」を開き、対象の証明書をダブルクリックすることで確認できます。「有効期間」の欄に開始日と終了日が明記されています。

3．Windows 11のライセンス認証をしないとどうなる？

証明書とは別に、Windows自体のライセンス認証を行わない場合、デスクトップの壁紙変更などのパーソナライズ機能が制限されます。また、重要なセキュリティアップデートが受けられなくなるリスクがあるため、早めの認証が推奨されます。

まとめ

Windowsでクライアント証明書を確認するには、ブラウザの設定画面、あるいは「certmgr.msc」コマンドによる証明書マネージャーの利用が最も効率的です。定期的に有効期限をチェックし、トラブルのないPC環境を維持しましょう。

万が一、システムの不具合やアップデートミスでパソコンが立ち上がらない状況に陥った際は、データの安全を第一に考え、Tenorshare 4DDiGのような信頼できるデータ復元ソフトを活用して、大切なファイルをバックアップすることをお勧めします。