秘密鍵ファイルを格納しているフォルダや秘密鍵ファイル自体に、該当ユーザアカウントのフルコントロールアクセス権が設定されているかどうかの確認方法および設定方法について

ユーザプロファイル上に何かしら異常があり、証明書発行、ログインが意図通り動作しない事象だと考えられます。
そのためユーザプロファイルを新規作成する対応を推奨いたします。

① 異なるWindowsアカウントで再度発行していただく 別のWindowsアカウントを作成していただき、そのアカウントから証明書の発行を試していただくよう、お願いいたします。

② 別端末でご利用いただく 別端末をお持ちでしたら、そちらの端末から証明書の発行を試していただくよう、お願いいたします。

あるいはの対処を行うことが難しい場合、下記手順による該当フォルダへのアクセス権変更をご案内しております。
しかし、他のアプリケーションへの影響が当行ではわからない(※)ことから、「別アカウントを作成する」「別端末でご利用いただく」といった対応を推奨しております。
※ユーザプロファイルにおける証明書関連の格納方法についてはセキュリティ上の理由によりMicrosoft社より情報が開示されていません。

③ 証明書利用に必要なフォルダへのアクセス権を付与していただく

(1)Windows Vista、Windows7の場合

下記2箇所のフォルダへのアクセス権付与をお願い致します。
T.へのアクセス権付与手順のみ記載してありますが、U.についても手順は同様となります。

T.
C:\Users\<UserName>\AppData\Roaming\Microsoft\Crypto


<UserName>は証明書取得時のWindowsユーザ名です。
U.
C:\Users\<UserName>\AppData\Roaming\Microsoft\SystemCertificates

  1. 「スタート」-「コンピュータ」 でエクスプローラを起動してください。
    または「スタート」-「すべてのプログラム」-「アクセサリ」-「エクスプローラ」でエクスプローラを起動し、エクスプローラ画面左側の「フォルダ」一覧から「コンピュータ」をクリックしてください。
    エクスプローラで「ローカルディスク (C:)」を選択し右クリックで「プロパティ」を選択します。
    ここで、「ファイルシステム」が「NTFS」となっている場合は、②以下を実施してください。
    「NTFS」となっていない場合は、サポートデスクへご連絡ください。
  2. ①で起動したエクスプローラで「整理」-「フォルダと検索のオプション」を選択し、
    「フォルダオプション」画面-「表示」タブを選択します。
    「ファイルとフォルダの表示」で「すべてのファイルとフォルダを表示する」にチェックし、「OK」をクリックします。
  3. エクスプローラで
    C:\Users\<UserName>\AppData\Roaming\Microsoft\Crypto のフォルダを表示します。
    ※Windowsユーザ名を変更されている場合、<UserName>は変更前のWindowsユーザ名の場合があります。
    ※AppDataフォルダが表示されない場合は②に戻り「すべてのファイルとフォルダを表示する」が選択されているか再度ご確認ください。
  4. ③で表示したCryptoフォルダを右クリック - 「プロパティ」を選択し、「Cryptoのプロパティ」画面 - 「セキュリティ」タブを選択します。

    ※左の画面はコンピュータ名が「SSOG41」、ユーザ名が「ssouser01」のPCで行った例です。

    ※ユーザ様のPCで操作される際には、ユーザ様のPCに設定されたコンピュータ名が表示されます。
  5. ④-1
    「グループ名またはユーザー名」の枠内に、証明書取得時のWindowsユーザ名が無い場合は⑤以下を実施してください。
    ④-2
    証明書取得時のWindowsユーザ名を選択した状態で「<UserName> のアクセス許可」の枠内を確認し「フルコントロール」の「許可」チェックボックスにチェックが入っていない場合は⑨(図右)以下を実施してください。

    ④-1および④-2のどちらにも該当しない場合は C:\Users\<UserName>\AppData\Roaming\Microsoft\Crypto および、
    この配下にあるファイルを対象に④-1および④-2を確認してください。

  6. ④で開いた「セキュリティ」タブで「編集」をクリックし(図左)、「Cryptoのアクセス許可」画面で「追加」をクリックします。(図右)
  7. 「詳細設定」をクリックします。
  8. 「検索」をクリックし、証明書取得時のWindowsユーザ名を選択し、「OK」を押下します。
  9. 「選択するオブジェクト名を入力してください」の枠内に、証明書取得時のWindowsユーザ名が表示されていることを確認し、「OK」をクリックします。
  10. Cryptoのアクセス許可画面で「OK」をクリック(図左)、Cryptoのプロパティ画面で「編集」をクリックします。(図右)
  11. 追加したWindowsユーザ名<UserName>を選択し、「<UserName>のアクセス許可」の枠内で「フルコントロール」の「許可」チェックボックスにチェックを入れ「OK」をクリック(図左)。
    Cryptoのプロパティ画面で「詳細設定」をクリックします(図右)。
  12. 証明書取得時のWindowsユーザ名のアクセス許可に「フルコントロール」と記載されていることを確認します。
    下図の「A」をクリックし、「B」にチェックを入れ、「適用」をクリックします。
    ※⑫で「はい」ボタン押下後、チェックボックスのチェックが外れます。
  14. ダイアログが表示されるので「はい」をクリックします。
  15. 表示されている全てのダイアログで「OK」をクリックする。
  16. T.とU.両方にアクセス権を付与完了していなければ、もう一方にも付与する。

(2) Windows 8以降の場合

下記2箇所のフォルダへのアクセス権付与をお願い致します。
T.へのアクセス権付与手順のみ記載してありますが、U.についても手順は同様となります。

T.
C:\Users\<UserName>\AppData\Roaming\Microsoft\Crypto


<UserName>は証明書取得時のWindowsユーザ名です。
U.
C:\Users\<UserName>\AppData\Roaming\Microsoft\SystemCertificates

  1. 「Windowsキー」+「Eキー」を押下します。
    エクスプローラ画面左側の「フォルダ」一覧から「コンピュータ」をクリックしてください。
    エクスプローラで「ローカルディスク (C:)」を選択し右クリックで「プロパティ」を選択します。
    ここで、「ファイルシステム」が「NTFS」となっている場合は、②以下を実施してください。
    「NTFS」となっていない場合は、サポートデスクへご連絡ください。
  2. ①で起動したエクスプローラで「表示」-「オプション」を選択し、「フォルダ-オプション」画面-「表示」タブを選択します。
    「ファイルとフォルダーの表示」で「隠しファイル、隠しフォルダー、および隠しドライブを表示する」にチェックし、「OK」をクリックします。
  3. エクスプローラで
    C:\Users\<UserName>\AppData\Roaming\Microsoft\Crypto のフォルダを表示します。
    ※Windowsユーザ名を変更されている場合、<UserName>は変更前のWindowsユーザ名の場合があります。
    ※AppDataフォルダが表示されない場合は②に戻り「すべてのファイルとフォルダを表示する」が選択されているか再度ご確認ください。
  4. ③で表示したCryptoフォルダを右クリック - 「プロパティ」を選択し、「Cryptoのプロパティ」画面 - 「セキュリティ」タブを選択します。

    ※左の画面はコンピュータ名が「SSOG41」、ユーザ名が「ssouser01」のPCで行ったものです。

    ※ユーザ様のPCで操作される際には、ユーザ様のPCに設定されたコンピュータ名が表示されます。
  5. ④-1
    「グループ名またはユーザー名」の枠内に、証明書取得時のWindowsユーザ名が無い場合は⑤以下を実施してください。
    ④-2
    証明書取得時のWindowsユーザ名を選択した状態で「<UserName>のアクセス許可」の枠内を確認し「フルコントロール」の「許可」チェックボックスにチェックが入っていない場合は⑨(図右)以下を実施してください。

    ④-1および④-2のどちらにも該当しない場合はC:\Users\<UserName>\AppData\Roaming\Microsoft\Crypto
    および、この配下にあるファイルを対象に④-1および④-2を確認してください。

  6. ④で開いた「セキュリティ」タブで「編集」をクリックし(図左)、「Cryptoのアクセス許可」画面で「追加」をクリックします。(図右)
  7. 「詳細設定」をクリックします。
  8. 「検索」をクリックし、証明書取得時のWindowsユーザ名を選択し、「OK」を押下します。
  9. 「選択するオブジェクト名を入力してください」の枠内に、証明書取得時のWindowsユーザ名が表示されていることを確認し、「OK」をクリックします。
  10. Cryptoのアクセス許可画面で「OK」をクリック(図左)、Cryptoのプロパティ画面で「編集」をクリックします。(図右)
  11. 追加したWindowsユーザ名<UserName>を選択し、「<UserName>のアクセス許可」の枠内で「フルコントロール」の「許可」チェックボックスにチェックを入れ「OK」をクリック(図左)。
    Cryptoのプロパティ画面で「詳細設定」をクリックします(図右)。
  12. 証明書取得時のWindowsユーザ名のアクセス許可に「フルコントロール」と記載されていることを確認します。
    下図の「A」にチェックを入れ「適用」をクリックします。
    ※⑫で「はい」ボタン押下後、チェックボックスのチェックが外れます。
  13. ダイアログが表示されるので「はい」をクリックします。
  14. 表示されている全てのダイアログで「OK」をクリックする。
  15. T.とU.両方にアクセス権を付与完了していなければ、もう一方にも付与する。

(3) コマンドプロンプトからの設定方法について

上記の設定をコマンドプロンプトから行うこともできます。

Windows Vista、Windows 7、Windows 8、Windows 8.1の場合
  1. 「スタート」メニューから→「検索の開始」を選択します。
  2. 「cmd」と入力し、画面上部に表示された「cmd.exe」をクリックしてください。
    コマンドプロンプトが起動します。
  3. 以下のコマンドを入力します。<UserName>は証明書取得時のWindowsユーザ名です。
    cacls "C:\Users\<UserName>\AppData\Roaming\Microsoft\Crypto" /T /E /G <UserName>:F
    cacls "C:\Users\<UserName>\AppData\Roaming\Microsoft\SystemCertificates" /T /E /G <UserName>:F
閉じる