Windows証明書にその目的を「リモートコンピュータのIDを保証する」と言う

TL; DR

Verisign、Comodoなどから証明書を購入すると、Web閲覧に使用できる証明書を常に取得できるようになります。

パート1：「確認するのに十分な情報がありません」

これは、PHPによって生成された自己署名証明書のようです。実際には「誰か」が発行したと書いてあります。 「だれか」がすべてのコンピュータに展開したい正当な証明書でない場合は、このエラーが発生します。

証明書マネージャーを起動し、ユーザーアカウントとマシンのWindowsの「信頼されたルート」証明書を確認します（確認する場所が2つあります）。システムで有効なすべてのCAを表すそのフォルダー（信頼されたルート）内。ここで証明書を追加することは、コンピューターのセキュリティを制御するためにそれらを信頼することを意味し、それらを削除することは、それらを信頼しないことを意味します。これを変更して、経験豊富なPKI担当者に任せて、このフォルダーのコンテンツを追加および削除することはお勧めしません。

それ以外の場合は、 http://security.stackexchange.com を参照して、PKIに関連するその他の情報を入手してください。

パート2：「すべてのアプリケーションポリシー」

「すべてのアプリケーションポリシー」というセクションには、「リモートコンピューターのIDを確認する」が含まれています。

より制約のある証明書（良いこと）が必要な場合は、PHPアプリケーション（phplibデモ証明書））を信頼されたCAに移動させ、適切な証明書テンプレートを使用する必要があります。

これをどのように行うかは、次の条件によって異なります。

• 証明書を生成するユーティリティ（この場合はPHP）
• 使用するCA（すべての人が使用するパブリックCAですか、それとも企業環境のみ）
• CA-発行された証明書を、指定したキー使用法のみを持つように制限する方法に関する特定の詳細。

ここにヒントがあります。一般タブには重要な情報はあまり表示されません。 「詳細」をクリックして、キーの使用法と拡張キーの使用法を確認します。これらは、探しているわかりやすいテキストだけでなく、内部CAに正しい証明書を発行させるときに必要になる可能性があるOIDも提供します。

この問題が発生するのは、一般的なX.509証明書を開いているためです。

マイクロソフトでは、署名CAを含むPKCS7証明書が必要です。証明書自体に署名者公開証明書がない場合（署名者公開証明書がローカル証明書ストアにあるかどうかに関係なく）、それは不正と見なされます。