Windowsリモートデスクトップで「Root Certificate is Not Trusted」エラーを直す方法：原因別の最短手順と安全な対処

リモートデスクトップ接続（RDP/RDC）やRDWebを使っていると、突然「Root Certificate is Not Trusted（ルート証明書が信頼されていません）」といった証明書エラーが出て接続できないことがあります。多くの場合、原因は「証明書のチェーン（連鎖）不備」「クライアント側の信頼ストア未整備」「時刻ずれ」「自己署名証明書の運用」「社内CAの配布漏れ」など、設定と配布のどこかにあります。
この記事では、現場で再発しやすいパターンを整理し、最短で直す手順と、やってはいけない危険な回避策までまとめます。

• Windowsリモートデスクトップで「Root Certificate is Not Trusted」エラーを直す方法：原因別の最短手順と安全な対処
  • まず押さえる：このエラーが意味すること
  • 原因の切り分けチェック（最短で当たりを付ける）
  • 対処法1：クライアントにルート証明書を正しく入れる（社内CA・自己署名で最も多い）
    • 手順（Windows）
  • 対処法2：サーバー側で証明書チェーンを揃える（中間証明書の不足を潰す）
    • 典型パターン
    • 対応の考え方
  • 対処法3：ホスト名（FQDN）を正しく使う（IP直打ちは避ける）
  • 対処法4：期限切れ・アルゴリズム・時刻ずれを一気に潰す
  • RDWebで出るSSLエラーの考え方（RDPと同根）
  • やってはいけない：警告無視・認証緩和での恒久運用
  • 再発防止の設計メモ（運用がラクになる）
  • まとめ：最短の直し方は「信頼」「チェーン」「名前」の3点セット

まず押さえる：このエラーが意味すること

「Root Certificate is Not Trusted」は、接続先サーバーが提示してきた証明書を、あなたのPC（クライアント）が“信頼できるルート証明機関（Root CA）から発行されたもの”として検証できない状態です。
証明書は通常「サーバー証明書 → 中間CA → ルートCA」のチェーンで成り立ちます。どこかが欠けている・期限切れ・別の名前で発行されている・信頼ストアにない、などで失敗します。

原因の切り分けチェック（最短で当たりを付ける）

次の順で見ると効率的です。

1. PCの日時が正しいか
   数分〜数時間ずれるだけで証明書が無効扱いになることがあります。まずWindowsの時刻同期を確認します。

2. 接続先のホスト名が証明書の名前と一致しているか
   server01 に接続しているのに証明書が rdweb.example.com 向け、など不一致だと失敗します。IP直打ちも不一致の典型です。

3. 社内CA（プライベートCA）運用か
   Active Directory証明書サービスなど社内CAで発行している場合、クライアントへルート証明書配布が必要です。

4. 中間証明書が欠けていないか
   サーバー側で“中間CAを提示していない”と、クライアントはチェーンを完成できず失敗します。

対処法1：クライアントにルート証明書を正しく入れる（社内CA・自己署名で最も多い）

社内CAや自己署名証明書を使う構成では、クライアントがそのCAを信頼していないのが原因になりがちです。

手順（Windows）

1. ルートCA証明書（.cer など）を入手
   社内ポータル、管理者から配布、もしくはサーバー管理者がエクスポートします。

2. Win + R → mmc → 「ファイル」→「スナップインの追加と削除」

3. 「証明書」スナップインを追加（コンピューター アカウントを推奨）

4. 「信頼されたルート証明機関」→「証明書」→ 右クリックでインポート

5. 必要なら「中間証明機関」に中間CAもインポート

ポイント

• “現在のユーザー”ではなく、RDPの利用形態によっては“ローカルコンピューター”側に入れるのが安定です。

• 会社PCが多数なら、グループポリシー（GPO）でルート証明書を配布するのが正攻法です。

対処法2：サーバー側で証明書チェーンを揃える（中間証明書の不足を潰す）

証明書は“サーバーに入れたら終わり”ではなく、接続時に中間証明書まで提示できていないと失敗します。

典型パターン

• 公開CAで発行したのに、中間証明書をサーバーに入れていない

• RDWeb/ゲートウェイ/RDPホストで、証明書の割り当て先がズレている

• 証明書更新後に古い証明書参照のまま

対応の考え方

• サーバー証明書に紐づく中間CAを「中間証明機関」に正しく配置

• RDS構成（RDWeb、RD Gateway、RD Connection Broker、RDPホスト）ごとにどこがTLS終端かを整理し、該当箇所へ証明書を割り当てる

対処法3：ホスト名（FQDN）を正しく使う（IP直打ちは避ける）

証明書は「どの名前のサーバーだと保証するか」を持っています。
RDPファイルや接続先に FQDN（例：rdgw.example.com） を使い、証明書のSAN/CNと一致させてください。

• 社内DNSが未整備なら、まずDNSを直すのが再発防止として強い

• どうしてもIPで接続したい運用は、証明書設計と相性が悪い（推奨しません）

対処法4：期限切れ・アルゴリズム・時刻ずれを一気に潰す

見落としやすい基本項目です。

• 証明書の有効期限切れ（更新漏れ）

• ルート/中間の期限切れ（サーバー証明書だけ更新してもダメ）

• クライアントのWindows Update未適用で信頼ストアが古い

• 端末の時刻同期不良（特に仮想環境・休止復帰後）

RDWebで出るSSLエラーの考え方（RDPと同根）

RDWebはブラウザでTLS検証が走るため、RDPよりも厳密に見えてエラーが表面化しやすいです。
RDWebのURL（例：https://rdweb.example.com/RDWeb）に対して、そのFQDNの証明書が割り当たっているかを最優先で確認します。
「ブラウザでは警告」「RDPでも警告」という場合は、ほぼ確実に“信頼の問題”か“名前不一致”です。

やってはいけない：警告無視・認証緩和での恒久運用

一時しのぎとして「警告を無視して接続」できる場面もありますが、恒久運用にすると以下のリスクがあります。

• 中間者攻撃（MITM）に気づけない

• 社外からの接続で偽装ゲートウェイを見抜けない

• 監査・セキュリティ基準で問題化しやすい

“なぜ信頼できないのか”を潰すのが正解です。

再発防止の設計メモ（運用がラクになる）

• 社内CA運用なら GPOでルート/中間を配布

• 証明書更新の期限を監視（更新手順を手順書化）

• RDWeb / RD Gateway / RDPホストの証明書割り当て先を一覧化

• 接続先はFQDN統一、DNSを整備

• 端末時刻はNTP同期を強制（特にノートPC・VDI）

まとめ：最短の直し方は「信頼」「チェーン」「名前」の3点セット

「Root Certificate is Not Trusted」は、ほとんどが次のどれかです。

• ルートCAがクライアントに入っていない（配布不足）

• 中間証明書が揃っていない（チェーン不備）

• 接続先名が証明書と一致していない（FQDN不一致、IP直打ち）

この3点を順番に潰すだけで、RDP/RDCでもRDWebでも、同種の証明書エラーはきれいに解消できます。必要以上にセキュリティを緩めず、「正しく信頼させる」方向で整えるのが最も安全で、結果的に復旧も早くなります。