【Windows 11対応】WindowsにOpenSSLをインストールして証明書を取り扱う（Ver. 1.1.1編）：Tech TIPS（2/2 ページ）

[島田広道，デジタルアドバンテージ]

OpenSSL用に認証局（CA）の証明書ファイルを用意する

　ここまでの手順だけでは、openssl.exeの実行時に「unable to get local issuer certificate」といったエラーが生じることがある。以下は、SSL／TLSのサーバにアクセスして証明書を検証・取得するコマンド「s_client」の実行例だ。

ルートCA証明書を用意していない場合に生じるopenssl.exeのエラーの例

　これは、ローカル上でルート認証局（Root Certificate Authority、ルートCA）の証明書が見つからない、ということを示している。

●「unable to get local issuer certificate」というエラーが生じる理由

　OpenSSLに限らず、証明書が正しいものかどうかを検証する過程では、ルート認証局（Root Certificate Authority、ルートCA）の証明書が必要になる。これは一般的に、検証中に（リモートのサイトではなく）ローカルPC上で参照できる必要がある。

　Windows OSでもルートCAの証明書はローカルPCに保存されている。証明書管理ツール「certmgr.msc」「certlm.msc」で表示できる「証明書ストア」の［信頼されたルート証明機関］−［証明書］などに格納されているのが、ルートCAの証明書だ。

　しかしOpenSSLはこのWindows OS標準の証明書ストアを参照せず、かつ配布されているOpenSSLのインストーラーにもルートCAの証明書は含まれていない。そのため、別途ルートCA証明書を用意する必要がある。

●配布されているルートCA証明書ファイルを入手する

　例えば、指定したURLのサイトからデータをダウンロードするコマンドラインツール「curl」の配布元サイトでは、「cacert.pem」という名前でルートCA証明書ファイルを提供している。

• CA certificates extracted from Mozilla［英語］（https://curl.haxx.se/）