Visual Studio オフライン インストールに必要な証明書をインストールするInstall certificates required for Visual Studio offline installation

Visual Studio は、本来、インターネットに接続されているコンピューターからインストールするように設計されています。多くのコンポーネントが定期的に更新されるためです。Visual Studio is primarily designed to be installed on an internet-connected machine, since many components are updated regularly. しかしながら、いくつかの追加手順を踏めば、インターネットが利用できない環境で Visual Studio を展開できます。However, with some extra steps, it's possible to deploy Visual Studio in an environment where a working internet connection is unavailable.

Visual Studio セットアップ エンジンでは、信頼されているコンテンツのみがインストールされます。The Visual Studio setup engine installs only content that is trusted. そのためにセットアップ エンジンは、ダウンロードされるコンテンツの Authenticode 署名を確認し、すべてのコンテンツが信頼されていることをインストール前に検証します。It does this by checking Authenticode signatures of the content being downloaded and verifying that all content is trusted before installing it. これにより、ダウンロード場所が侵害されていた場合に攻撃から環境の安全を維持します。This keeps your environment safe from attacks where the download location is compromised. そのため、Visual Studio のセットアップでは、Microsoft 標準の複数のルート証明書と中間証明書がユーザーのコンピューターにインストールされて最新の状態になっている必要があります。Visual Studio setup therefore requires that several standard Microsoft root and intermediate certificates are installed and up-to- date on a user's machine. コンピューターが Windows Update で最新の状態に保たれている場合は、通常、署名証明書も最新の状態になっています。If the machine has been kept up to date with Windows Update, signing certificates usually are up to date. コンピューターがインターネットに接続されている場合、インストールの間に、Visual Studio はファイルの署名の検証に必要な証明書を更新できます。If the machine is connected to the internet, during installation Visual Studio may refresh certificates as necessary to verify file signatures. コンピューターがオフラインの場合は、別の方法で証明書を更新する必要があります。If the machine is offline, the certificates must be refreshed another way.

オフラインのときに証明書を更新する方法How to refresh certificates when offline

オフライン環境で証明書をインストールまたは更新するには 3 つのオプションがあります。There are three options for installing or updating certificates in an offline environment.

オプション 1 - レイアウト フォルダーから手動で証明書をインストールするOption 1 - Manually install certificates from a layout folder

ネットワーク レイアウトを作成するときに、必要な証明書が Certificates フォルダーにダウンロードされます。When you create a network layout, the necessary certificates are downloaded to the Certificates folder. 各証明書ファイルをダブルクリックし、証明書マネージャー ウィザードをクリックすることで証明書を手動でインストールできます。You can then manually install the certificates by double-clicking each of the certificate files, and then clicking through the Certificate Manager wizard. パスワードを求められたら、空のままにしてください。If asked for a password, leave it blank.

更新:Visual Studio 2017 バージョン 15.8 プレビュー 2 以降の場合は、各証明書ファイルを右クリックして [証明書のインストール] を選択した後、証明書マネージャー ウィザードの指示に従って操作することで、手動で証明書をインストールできます。Update: For Visual Studio 2017 version 15.8 Preview 2 or later, you can manually install the certificates by right-clicking each of the certificate files, selecting Install Certificate, and then clicking through the Certificate Manager wizard.

ネットワーク レイアウトを作成するときに、必要な証明書が Certificates フォルダーにダウンロードされます。When you create a network layout, the necessary certificates are downloaded to the Certificates folder. 各証明書ファイルを右クリックして [証明書のインストール] を選択した後、証明書マネージャー ウィザードの指示に従って操作することで、手動で証明書をインストールできます。You can manually install the certificates by right-clicking each of the certificate files, selecting Install Certificate, and then clicking through the Certificate Manager wizard. パスワードを求められたら、空のままにしてください。If asked for a password, leave it blank.

オプション 2 - エンタープライズ環境で信頼されたルート証明書を配布するOption 2 - Distribute trusted root certificates in an enterprise environment

最新のルート証明書がないオフラインのコンピューターの場合、管理者が「信頼されたルートおよび許可されない証明書を構成する」の指示に従って更新できます。For enterprises with offline machines that do not have the latest root certificates, an administrator can use the instructions on the Configure Trusted Roots and Disallowed Certificates page to update them.

オプション 3 - Visual Studio のスクリプト化された展開の一部として証明書をインストールするOption 3 - Install certificates as part of a scripted deployment of Visual Studio

オフライン環境でクライアント ワークステーションへの Visual Studio の配置をスクリプトにしている場合は、以下の手順に従う必要があります。If you are scripting the deployment of Visual Studio in an offline environment to client workstations, you should follow these steps:

  1. 証明書マネージャー ツール (certmgr.exe) をインストール共有 (たとえば \server\share\vs2017) にコピーします。Copy the Certificate Manager Tool (certmgr.exe) to the installation share (for example, \server\share\vs2017). certmgr.exe は Windows 自体には含まれませんが、Windows SDK の一部として利用できます。Certmgr.exe is not included as part of Windows itself, but is available as part of the Windows SDK.

  2. 次のコマンドでバッチ ファイルを作成します。Create a batch file with the following commands:

    certmgr.exe -add -c certificates\manifestSignCertificates.p12 -n "Microsoft Code Signing PCA 2011" -s -r LocalMachine CA
    
    certmgr.exe -add -c certificates\manifestSignCertificates.p12 -n "Microsoft Root Certificate Authority" -s -r LocalMachine root
    
    certmgr.exe -add -c certificates\manifestCounterSignCertificates.p12 -n "Microsoft Time-Stamp PCA 2010" -s -r LocalMachine CA
    
    certmgr.exe -add -c certificates\manifestCounterSignCertificates.p12 -n "Microsoft Root Certificate Authority" -s -r LocalMachine root
    
    certmgr.exe -add -c certificates\vs_installer_opc.SignCertificates.p12 -n "Microsoft Code Signing PCA" -s -r LocalMachine CA
    
    certmgr.exe -add -c certificates\vs_installer_opc.SignCertificates.p12 -n "Microsoft Root Certificate Authority" -s -r LocalMachine root
    

    更新:Visual Studio 2017 バージョン 15.8 プレビュー 2 以降の場合は、次のコマンドでバッチ ファイルを作成します。Update: For Visual Studio 2017 version 15.8 Preview 2 or later, create the batch file with the following commands:

    certmgr.exe -add [layout path]\certificates\manifestRootCertificate.cer -n "Microsoft Root Certificate Authority 2011" -s -r LocalMachine root
    
    certmgr.exe -add [layout path]\certificates\manifestCounterSignRootCertificate.cer -n "Microsoft Root Certificate Authority 2010" -s -r LocalMachine root
    
    certmgr.exe -add [layout path]\certificates\vs_installer_opc.RootCertificate.cer -n "Microsoft Root Certificate Authority" -s -r LocalMachine root
    

    あるいは、次のコマンドによって、certutil.exe (Windows に付属している) を使用するバッチ ファイルを作成します。Alternatively, create a batch file that uses certutil.exe, which ships with Windows, with the following commands:

    certutil.exe -addstore -f "Root" "[layout path]\certificates\manifestRootCertificate.cer
    
    certutil.exe -addstore -f "Root" [layout path]\certificates\manifestCounterSignRootCertificate.cer"
    
    certutil.exe -addstore -f "Root" "[layout path]\certificates\vs_installer_opc.RootCertificate.cer"
    
  3. バッチ ファイルをクライアントに配置します。Deploy the batch file to the client. このコマンドは、管理者特権のプロセスから実行する必要があります。This command should be run from an elevated process.

  1. 証明書マネージャー ツール (certmgr.exe) をインストール共有 (たとえば \server\share\vs2019) にコピーします。Copy the Certificate Manager Tool (certmgr.exe) to the installation share (for example, \server\share\vs2019). certmgr.exe は Windows 自体には含まれませんが、Windows SDK の一部として利用できます。Certmgr.exe is not included as part of Windows itself, but is available as part of the Windows SDK.

  2. 次のコマンドでバッチ ファイルを作成します。Create a batch file with the following commands:

    certmgr.exe -add [layout path]\certificates\manifestRootCertificate.cer -n "Microsoft Root Certificate Authority 2011" -s -r LocalMachine root
    
    certmgr.exe -add [layout path]\certificates\manifestCounterSignRootCertificate.cer -n "Microsoft Root Certificate Authority 2010" -s -r LocalMachine root
    
    certmgr.exe -add [layout path]\certificates\vs_installer_opc.RootCertificate.cer -n "Microsoft Root Certificate Authority" -s -r LocalMachine root
    

    あるいは、次のコマンドによって、certutil.exe (Windows に付属している) を使用するバッチ ファイルを作成します。Alternatively, create a batch file that uses certutil.exe, which ships with Windows, with the following commands:

    certutil.exe -addstore -f "Root" "[layout path]\certificates\manifestRootCertificate.cer
    
    certutil.exe -addstore -f "Root" [layout path]\certificates\manifestCounterSignRootCertificate.cer"
    
    certutil.exe -addstore -f "Root" "[layout path]\certificates\vs_installer_opc.RootCertificate.cer"
    
  3. バッチ ファイルをクライアントに配置します。Deploy the batch file to the client. このコマンドは、管理者特権のプロセスから実行する必要があります。This command should be run from an elevated process.

Certificates フォルダー内の証明書ファイルの内容What are the certificates files in the Certificates folder?

このフォルダー内にある 3 つの .P12 ファイルのそれぞれに、中間証明書とルート証明書が含まれます。The three .P12 files in this folder each contain an intermediate certificate and a root certificate. Windows Update で最新の状態になっているほとんどのシステムでは、これらの証明書は既にインストールされています。Most systems that are current with Windows Update have these certificates already installed.

  • ManifestSignCertificates.p12 に含まれるもの:ManifestSignCertificates.p12 contains:
    • 中間証明書:Microsoft Code Signing PCA 2011Intermediate certificate: Microsoft Code Signing PCA 2011
      • 不要。Not required. 存在する場合、一部のシナリオでパフォーマンスが向上します。Improves performance in some scenarios if present.
    • ルート証明書:Microsoft Root Certificate Authority 2011Root certificate: Microsoft Root Certificate Authority 2011
      • 最新の Windows 更新プログラムがインストールされていない Windows 7 Service Pack 1 システムで必要。Required on Windows 7 Service Pack 1 systems that do not have the latest Windows Updates installed.
  • ManifestCounterSignCertificates.p12 に含まれるもの:ManifestCounterSignCertificates.p12 contains:
    • 中間証明書:Microsoft Time-Stamp PCA 2010Intermediate certificate: Microsoft Time-Stamp PCA 2010
      • 不要。Not required. 存在する場合、一部のシナリオでパフォーマンスが向上します。Improves performance in some scenarios if present.
    • ルート証明書:Microsoft Root Certificate Authority 2010Root certificate: Microsoft Root Certificate Authority 2010
      • 最新の Windows 更新プログラムがインストールされていない Windows 7 Service Pack 1 システムで必要。Required for Windows 7 Service Pack 1 systems that do not have the latest Windows Updates installed.
  • Vs_installer_opc.SignCertificates.p12 に含まれるもの:Vs_installer_opc.SignCertificates.p12 contains:
    • 中間証明書:Microsoft Code Signing PCAIntermediate certificate: Microsoft Code Signing PCA
      • すべてのシステムに必要。Required for all systems. Windows Update からすべての更新プログラムが適用されているシステムにはこの証明書がない場合があることに注意してください。Note that systems with all updates applied from Windows Update might not have this certificate.
    • ルート証明書:Microsoft Root Certificate AuthorityRoot certificate: Microsoft Root Certificate Authority
      • 必須です。Required. この証明書は、Windows 7 以降を実行するシステムに付属しています。This certificate ships with systems running Windows 7 or later.

更新:Visual Studio 2017 バージョン 15.8 プレビュー 2 以降の場合、Visual Studio インストーラーによって求められるのは、システム上にルート証明書がインストールされることのみです。Update: For Visual Studio 2017 version 15.8 Preview 2 or later, the Visual Studio Installer requires only the root certificates to be installed on the system. これらの証明書は、.p12 ではなく .cer ファイルに格納されます。These certificates are stored in .cer files instead of .p12.

  • ManifestSignCertificates.cer には次のものが含まれます。ManifestSignCertificates.cer contains:
    • ルート証明書:Microsoft Root Certificate Authority 2011Root certificate: Microsoft Root Certificate Authority 2011
      • 最新の Windows 更新プログラムがインストールされていない Windows 7 Service Pack 1 システムで必要。Required on Windows 7 Service Pack 1 systems that do not have the latest Windows Updates installed.
  • ManifestCounterSignCertificates.cer には次のものが含まれます。ManifestCounterSignCertificates.cer contains:
    • ルート証明書:Microsoft Root Certificate Authority 2010Root certificate: Microsoft Root Certificate Authority 2010
      • 最新の Windows 更新プログラムがインストールされていない Windows 7 Service Pack 1 システムで必要。Required for Windows 7 Service Pack 1 systems that do not have the latest Windows Updates installed.
  • Vs_installer_opc.SignCertificates.cer には次のものが含まれます。Vs_installer_opc.SignCertificates.cer contains:
    • ルート証明書:Microsoft Root Certificate AuthorityRoot certificate: Microsoft Root Certificate Authority
      • 必須です。Required. この証明書は、Windows 7 以降を実行するシステムに付属しています。This certificate ships with systems running Windows 7 or later.

Visual Studio インストーラーによって求められるのは、システム上にルート証明書がインストールされることのみです。The Visual Studio Installer requires only the root certificates to be installed on the system.

Certificates フォルダーから証明書が自動的にインストールされません。Why are the certificates from the Certificates folder not installed automatically?

署名がオンライン環境で検証されるとき、Windows API が利用されて証明書がシステムにダウンロードされ、追加されます。When a signature is verified in an online environment, Windows APIs are used to download and add the certificates to the system. このプロセスで、証明書が信頼できることと管理者設定で許可されることが確認されます。Verification that the certificate is trusted and allowed via administrative settings occurs during this process. ほとんどのオフライン環境では、この検証プロセスを実行できません。This verification process cannot occur in most offline environments. 証明書を手動でインストールすると、証明書が信頼できること、および組織のセキュリティ ポリシーを満たすことを確認できます。Installing the certificates manually allows enterprise administrators to ensure the certificates are trusted and meet the security policy of their organization.

証明書が既にインストールされているかどうかを確認するChecking if certificates are already installed

以下の手順はインストール システムをチェックする方法の 1 つです。One way to check on the installing system is to follow these steps:

  1. mmc.exe を実行します。Run mmc.exe.
    a.a. [ファイル] をクリックし、 [スナップインの追加と削除] を選択します。Click File, and then select Add/Remove Snap-in.
    b.b. [証明書] をダブルクリックし、 [コンピューター アカウント] を選択して、 [次へ] をクリックします。Double-click Certificates, select Computer account, and then click Next.
    c.c. [ローカル コンピューター] を選択し、 [完了] をクリックして、 [OK] をクリックします。Select Local computer, click Finish, and then click OK.
    d.d. [証明書 (ローカル コンピューター)] を展開します。Expand Certificates (Local Computer).
    e.e. [信頼されたルート証明機関] を展開し、 [証明書] を選択します。Expand Trusted Root Certification Authorities, and then select Certificates.

    • この一覧で必要なルート証明書を確認します。Check this list for the necessary root certificates.

    f.f. [中間証明機関] を展開し、 [証明書] を選択します。Expand Intermediate Certification Authorities, and then select Certificates.

    • この一覧で必要な中間証明書を確認します。Check this list for the required intermediate certificates.
  2. [ファイル] をクリックし、 [スナップインの追加と削除] を選択します。Click File, and then select Add/Remove Snap-in.
    a.a. [証明書] をダブルクリックし、 [ユーザー アカウント] を選択して、 [完了][OK] の順にクリックします。Double-click Certificates, select My user account, click Finish, and then click OK.
    b.b. [証明書 - 現在のユーザー] を展開します。Expand Certificates – Current User.
    c.c. [中間証明機関] を展開し、 [証明書] を選択します。Expand Intermediate Certification Authorities, and then select Certificates.

    • この一覧で必要な中間証明書を確認します。Check this list for the required intermediate certificates.

証明書名が [発行先] 列にない場合は、インストールする必要があります。If the certificates names were not in the Issued To columns, they must be installed. 中間証明書が [現在のユーザー] 中間証明書ストアのみにある場合、その中間証明書はログインしているユーザーだけが使用できます。If an intermediate certificate was only in the Current User Intermediate Certificate store, then it is available only to the user that is logged in. 他のユーザー用にインストールが必要な場合があります。You might need to install it for other users.

Visual Studio のインストールInstall Visual Studio

証明書をインストールしたら、「Visual Studio 2017 のネットワーク インストールを作成する」ページの「ネットワーク インストールから展開する」の指示に従うことで、Visual Studio の展開を続けることができます。After you install the certificates, deployment of Visual Studio can proceed by using the instructions from the Deploying from a network installation section of the "Create a network installation of Visual Studio" page.

サポートを受けるGet support

ときには、問題が発生してしまうことがあります。Sometimes, things can go wrong. Visual Studio のインストールが失敗した場合は、「Visual Studio のインストールとアップグレードの問題のトラブルシューティング」に記載されているステップ バイ ステップ ガイドをご覧ください。If your Visual Studio installation fails, see Troubleshoot Visual Studio installation and upgrade issues for step-by-step guidance.

インストール関連の問題については、ライブ チャット (英語のみ) のサポート オプションも用意されています。We also offer a live chat (English only) support option for installation-related issues.

他のいくつかのサポート オプションを次に示します。Here are a few more support options:

関連項目See also