後処理スクリプトのトラブルシューティングを行う

ユーザー個人の証明書ストアから対象の証明書を取得できません。

スクリプトが証明書にアクセスできません。

DigiCert ソフトウェアトークンを使用している場合、DigiCert Software Keystore の［クイックアクション］メニューを使用してトークンを登録し、失敗したスクリプトを再実行してみてください。

YubiKey ハードウェアトークンを使用している場合、トークンを再挿入し、失敗したスクリプトを再実行してみてください。

証明書の発行 CA トラストチェーンが検証されていない、アクセス不可、または不明です。

DigiCert Trust Assistant のログを見直し、チェーン検証失敗を示すレポートがないか確認して、管理者のサポートを求めてください。

管理者の方であれば、完全な証明書チェーンの検証が確立されていることを確認します。これには、エンドエンティティ証明書と CA 証明書に対する有効な AIA、CDP、OCSP、CRL の各エクステンションが含まれます。また、ルートが信頼されたルート認証局に追加されていることを確認します。

トラストチェーンの検証が完了したら、失敗したスクリプトを再実行してみてください。

スクリプトの署名検証に失敗しました。

スクリプトの署名が有効ではありません。

DigiCert Trust Assistant のログを詳細に見直し、スクリプト署名ステータスに関する詳細を確認して、管理者のサポートを求めてください。

管理者の方であれば、セキュリティ対策としてスクリプトの署名を手動で検証することを推奨します。詳細な手順については、「System scripts」を参照するか、デジサート担当者のサポートを求めてください。

スクリプトの実行が終了しました（SIGTERM）。

スクリプトの実行が指定時間内に完了しませんでした。デフォルトのスクリプトタイムアウト値は 30 秒で、設定可能です。

デフォルトのスクリプトタイムアウト値を増やしてから、失敗したスクリプトを再実行します。詳細については、「Configure post-processing script timeout in DigiCert Trust Assistant」を参照するか、管理者のサポートを求めてください。

スクリプトの実行中に不明なエラーが発生しました。

問題が正確に特定できず、内部エラーが発生した場合の一般的なエラーメッセージです。

DigiCert Trust Assistant のログを見直し、問題の詳細を確認して、管理者のサポートを求めてください。

証明書プロファイルの設定変更が、失敗したスクリプトの再実行中に反映されていません。

これは想定される動作です。

再実行はローカルに保存されたキャッシュに基づいて実行されるため、証明書プロファイルが更新されても再実行中には反映されません。詳細については、「Rerun failed post-processing scripts in DigiCert Trust Assistant」を参照してください。

設定は、新しい証明書のインストール時に適用されます。希望の設定でスクリプトを実行するには、再度登録してみてください。

Outlook がインストールされていません。

対応する Microsoft Outlook アプリケーションが対象のシステムにインストールされていません。

対応する Microsoft Outlook のバージョンがインストールされており、正常に動作していることを確認します。

対応する Outlook のバージョンは Outlook 2016 以降です。32 ビット版と 64 ビット版の両方に対応します。ただし、32 ビット版 Outlook を使用する場合、特定の制限があります。詳細については、「Microsoft Outlook Configuration」を参照してください。

無効な S/MIME 証明書 — 証明書のキー使用（KU）が空です。

証明書内のキー使用（KU）の値が空です。

KU には、次の値のうちいずれか 1 つが含まれていなければなりません。

管理者のサポートを求めてください。

管理者の方であれば、TLM 証明書プロファイルが見直され、特定のユースケースに応じて KU 値が設定されていることを確認します。サポートが必要な場合は、デジサート担当者にお問い合わせください。

無効な S/MIME 証明書 - 証明書のキー使用（KU）に必要なフィールドが含まれていません。

証明書のキー使用（KU）値に必要なフィールドが含まれていません。

KU には、次の値のうちいずれか 1 つが含まれていなければなりません。

管理者のサポートを求めてください。

管理者の方であれば、TLM 証明書プロファイルが見直され、特定のユースケースに応じて KU 値が設定されていることを確認します。サポートが必要な場合は、デジサート担当者にお問い合わせください。

無効な S/MIME 証明書 — 証明書の拡張キー使用（EKU）が空です。

証明書内の拡張キー使用（EKU）の値が空です。

EKU には、id-kp-emailProtection（1.3.6.1.5.5.7.3.4）が含まれている必要があります。

管理者のサポートを求めてください。

管理者の方であれば、TLM 証明書プロファイルが見直され、特定のユースケースに応じて EKU 値が設定されていることを確認します。サポートが必要な場合は、デジサート担当者にお問い合わせください。

無効な S/MIME 証明書 - 証明書の拡張キー使用（EKU）に必要なフィールドが含まれていません。

証明書の拡張キー使用（EKU）値に必要なフィールドが含まれていません。

EKU には、id-kp-emailProtection（1.3.6.1.5.5.7.3.4）が含まれている必要があります。

管理者のサポートを求めてください。

管理者の方であれば、TLM 証明書プロファイルが見直され、特定のユースケースに応じて EKU 値が設定されていることを確認します。サポートが必要な場合は、デジサート担当者にお問い合わせください。

Outlook アカウントの電子メールアドレスが、証明書のサブジェクト別名（SAN）またはサブジェクト DN（電子メール）の電子メールアドレスと一致しません。

インストール済みの Outlook メールアカウントで設定されているものとは異なるメールアドレスが証明書に含まれています。

Microsoft Outlook アプリケーションが正しいメールアカウントで設定されていることを確認します。Outlook メールアカウントが正しく設定されたら、スクリプトを再実行してみてください。問題が解決しない場合は、管理者のサポートを求めてください。

Outlook では後処理スクリプトの実行中に次のポップアップが表示されます。

［プログラムによるアクセスセキュリティ］ページ（［Outlook］>［ファイル］>［オプション］>［トラストセンター］>［トラストセンターの設定...］>［プログラムによるアクセス］）で次のいずれかのオプションが適用されている場合、ポップアップが表示されます。

次の設定を確認します。

管理者の方であれば、Outlook のプログラムによるアクセスのセキュリティ設定がユーザー環境において「ウイルス対策ソフトウェアが非アクティブまたは期限切れの場合に不審なアクティビティについて警告する」に設定されており、マシンで適切なウイルス対策ソフトウェアが有効化され最新の状態であることを確認します。これらの設定の詳細については、Microsoft のドキュメントを参照してください。

Outlook S/MIME 設定に失敗しました。

問題が正確に特定できず、内部エラーが発生した場合の一般的なエラーメッセージです。

DigiCert Trust Assistant のログを見直し、問題の詳細を確認します。

32 ビット版 Microsoft Outlook では、DigiCert Software KeyStore 内に保存された証明書と互換性がありません。

DigiCert Software KeyStore は、64 ビット版 Windows と 64 ビットアプリケーションにのみ対応しています。その結果、32 ビット版 Outlook などの 32 ビットアプリケーションは、DigiCert Software KeyStore に保存された証明書にアクセスできません。

これは既知の問題です。これを解決するには、32 ビット版の Microsoft Outlook をアンインストールし、代わりに 64 ビット版をインストールしてから、失敗したスクリプトを再実行します。

管理者であれば、既存の 32 ビット版インストール上に 64 ビット版の Outlook を導入できるかどうかを確認してください。デプロイが不可能な場合、32 ビット版 Outlook で証明書のインストールに OS のキーストアを使用できるかどうかを確認してください。これを行うには、DigiCert​​®​​ Trust Lifecycle Manager の証明書プロファイルを更新し、代わりにオペレーティングシステムのキーストアを使用します。

詳細なサポートが必要な場合は、デジサート担当者にお問い合わせください。

現在のユーザーは、Active Directory（AD）ドメインに属していないようです。

ユーザーがどの AD ドメインにも接続されていません。スクリプトは、USERDNSDOMAIN 環境関数を使用してAD ドメインを取得します。

必要な環境変数が正しく設定されていることを確認してから、スクリプトを再実行します。問題が解決しない場合は、管理者のサポートを求めてください。

現在のユーザーの識別名（DN）を取得できません。

スクリプトはユーザーの識別名（DN）にアクセスできません。スクリプトは Microsoft Windows のセキュリティ識別子（SID）を使用して DN を取得します。

失敗したスクリプトを再実行しても問題が解決しない場合があります。管理者のサポートを求めてください。

証明書を Active Directory （AD）に発行できません。

ユーザーに証明書を公開する適切な権限がないか、AD への LDAP 接続が無効または不安定です。

ユーザーに userCertificate 属性を変更する権限があることを確認します。AD 内のユーザーアカウントに対する権限エントリについて知るには、「Active Directory Publisher - Windows」を参照してください。

ユーザーに適切な権限がない場合は、AD への LDAP 接続が安定していることを確認します。DigiCert Trust Assistant のログを見直し、問題の詳細を確認します。

一般的なエラーです。

これは一般的なエラーです。詳細についてはログを確認してください。

DigiCert Trust Assistant のログを見直し、メッセージに記載されている指示に従ってエラーを解決します。

必要なコマンドが見つかりません。

メッセージに記載されているコマンドの少なくとも 1 つがシステムに存在しません。

必要なコマンドがすべて macOS に事前インストールされていることを確認します。コマンドが不足している場合、インストールすることを推奨します。それでもこのエラーが発生する場合、管理者のサポートを求めてください。

ユーザーが Active Directory ドメインにログインしていない場合、ドメインを指定する必要があります。ドメインパラメータが証明書プロファイルで指定されていることを確認します。

ドメインパラメータが証明書プロファイルで指定されていません。

ユーザーのマシンがドメインに参加していない場合、ユーザーをドメインにログインさせるにはドメイン情報が必要です。

管理者として、DigiCert Trust Lifecycle Manager にログインし、プロファイルを編集して、Active Directory Publisher -macOS の追加設定にユーザーのドメインを追加します。

ドメインの IP アドレスを取得できませんでした。

ドメインの IP アドレスを解決できませんでした。

ユーザーのマシンでアドレスを解決するには次のコマンドを実行します。さらに、検証のために逆引きを実行します。

$ nslookup <domain>

ユーザーのマシンでアドレスを正しく解決します。逆引きも必要です。

また、管理者としてログインし、［追加設定］>［ドメイン］で Active Directory Publisher – macOS が正しく設定されていることを確認します。

ドメインの KDC ホスト名を取得できませんでした。

ドメインのキー配布センター（KDC）ホストを解決できません。

次のコマンドを実行して、ユーザーのマシンから KDC ホストが解決されることを確認します。

dig +short "_ldap._tcp.$domain" SRV

ユーザーが［ユーザー名/パスワード入力］ダイアログをキャンセルしました。

ユーザーのマシンがドメインに参加していないため、スクリプトがユーザーをドメインにログインさせようとしたものの、ユーザーが入力ダイアログをキャンセルしました。

再実行機能を使用して操作を再試行します。詳細については、「Rerun failed post-processing scripts in DigiCert Trust Assistant」を参照してください。

Active Directory ドメインへのログインに失敗しました。

ユーザーが誤ったクレデンシャルを入力しました。

ユーザーが正しいクレデンシャルを入力していることを確認します。ユーザー名をユーザープリンシパル形式（例: john.doe@digicert.com）で入力してはならず、ユーザー名からドメインを削除します。

再試行するには、「Rerun failed post-processing scripts in DigiCert Trust Assistant」を参照してください。

Active Directory 内のユーザーの識別名（DN）を取得するための ldapsearch の実行に失敗しました。

Active Directory 内のユーザーの識別名（DN）を取得するために使用される ldapsearch コマンドの実行に失敗しました。

DigiCert Trust Assistant のログを見直し、問題の詳細を確認して、管理者のサポートを求めてください。

Active Directory 内のユーザーの識別名（DN）を取得できませんでした。

ldapsearch コマンドの出力を解析できませんでした。

DigiCert Trust Assistant のログを見直し、問題の詳細を確認して、管理者のサポートを求めてください。

ユーザーに対して Active Directory への証明書の公開に失敗しました。

ユーザーに証明書を公開する権限がないか、別の LDAP エラーが発生しました。

ユーザーに userCertificate 属性を変更する権限があることを確認します。AD 内のユーザーアカウントに対する権限エントリの詳細について知るには、「Active Directory Publisher - Windows」を参照してください。

ユーザーに権限がある場合、Active Directory への LDAP 接続が安定していることを確認します。DigiCert Trust Assistant のログを見直し、問題の詳細を確認します。

不明なエラーが発生しました。

これは予期しないエラーです。詳細についてはログを確認してください。

DigiCert Trust Assistant のログを見直し、メッセージに記載されている指示に従ってエラーを解決します。

Adobe Acrobat がインストールされていません。

Adobe Acrobat Reader アプリケーションが対象のマシンにインストールされていません。

Adobe Acrobat Reader アプリケーションが対象のマシンにインストールされ、正常に動作していることを確認します。

無効な証明書 — 証明書のキー使用（KU）が空です。

証明書内のキー使用（KU）の値が空です。

KU には digitalSignature が含まれていなければなりません。

詳細なサポートについては、管理者にお問い合わせください。

管理者の方であれば、TLM 証明書プロファイルが見直され、特定のユースケースに応じて KU 値が設定されていることを確認します。詳細なサポートについては、管理者にお問い合わせください。

無効な証明書 - 証明書のキー使用（KU）に必要なフィールドが含まれていません。

証明書のキー使用（KU）値に必要なフィールドが含まれていません。

KU には digitalSignature が含まれていなければなりません。

詳細なサポートについては、管理者にお問い合わせください。

管理者の方であれば、TLM 証明書プロファイルが見直され、特定のユースケースに応じて KU 値が設定されていることを確認します。詳細なサポートについては、管理者にお問い合わせください。

無効な証明書 — 証明書の拡張キー使用（EKU）が空です。

証明書内の拡張キー使用（EKU）の値が空です。

EKU には、次の EKU が含まれていなければなりません。

詳細なサポートについては、管理者にお問い合わせください。

管理者の方であれば、TLM 証明書プロファイルが見直され、特定のユースケースに応じて EKU 値が設定されていることを確認します。詳細なサポートについては、管理者にお問い合わせください。

無効な証明書 - 証明書の拡張キー使用（EKU）に必要なフィールドが含まれていません。

証明書の拡張キー使用（EKU）値に必要なフィールドが含まれていません。

EKU には、次の EKU が含まれていなければなりません。

詳細なサポートについては、管理者にお問い合わせください。

管理者の方であれば、TLM 証明書プロファイルが見直され、特定のユースケースに応じて EKU 値が設定されていることを確認します。詳細なサポートについては、管理者にお問い合わせください。

Adobe Acrobat のセキュリティ設定を構成できません。

問題が正確に特定できず、内部エラーが発生した際に表示される一般的なエラーメッセージです。

DigiCert Trust Assistant のログを見直し、問題の詳細を確認します。