Windows Hello for Business 認証証明書のライフサイクル

証明書の有効期限が近づくと、証明書の更新がバックグラウンドで自動的に発生します。ただし、証明書の更新には、ユーザーがマシンにログインしている必要があります。ユーザーが何らかの理由で更新期間を逃した場合、証明書は有効期限切れになります。

Windows Hello for Business 認証証明書の更新中は、証明書情報（notBefore および notAfter の有効期限）のみが更新され、非対称鍵は再生成されません。

更新期間中に何らかの理由で自動更新が行われなかったとき、証明書は有効期限切れになります。ただし証明書が有効期限切れになった後、最初に Windows Hello クレデンシャルを使用するときには、ユーザーはマシンにログインできます。正常にログインした後、オペレーティングシステムはバックグラウンドで証明書を再発行しようとします。これが行われる前にユーザーがマシンからログアウトすると、ユーザーは Windows Hello クレデンシャルを使用してログインすることができず、次のような画面が表示されます。

これが起こると、ユーザーは Active Directory のクレデンシャルを使用してログインする必要がありますが、正常にログインすれば、Windows Hello クレデンシャルはしばらくすると自動的に再発行されます。

再発行中は、証明書情報（notBefore および notAfter の有効期限など）のみが更新され、非対称鍵は再生成されません。

Windows Hello for Business 認証証明書が失効すると、ユーザーは Windows Hello クレデンシャルを利用してログインすることができず、下のような画面が表示されます。

OS が証明書が失効したと認識するのは、 CRL または OCSP の更新時間によるので、証明書が失効した直後には反映されてない場合があります。

ユーザーは、ログイン画面で「パスワードを忘れた」を使用するなどして Windows Hello クレデンシャルをリセットする必要はありません。詳しくは、次の［リセット］を参照してください。

ユーザーが、ログイン画面で「PIN を忘れた」を使用するなどして、Windows Hello クレデンシャルをリセットするときには、ユーザーは再度プロビジョニングされ、証明書も再度発行されます。非対称鍵が再生成され、新しい証明書が発行されます。ただし、これは DigiCert® Trust Lifecycle Manager の以前のユーザー証明書を無効にしません。