Windows Server 2022 から Zscaler Root CA を導入する方法

1.はじめに

企業ネットワークで Zscaler を利用している環境では、
Linux サーバーが外部通信を行う際に Zscaler Root CA を信頼ストアへ登録する必要があります。
登録されていない場合、curl / yum / dnf / python / Java などの TLS 通信が失敗します。

この記事では、Windows Server 2022 から Zscaler Root CA をエクスポートし、RHEL 9.4 にインポートするまでの手順をまとめます。

2. Zscaler Root CA(Zscaler ルート証明書)とは

Zscaler Root CA(Zscaler ルート証明書)とは、Zscaler が SSL/TLS 通信を復号・再暗号化(SSL Inspection)するために使用する “信頼の起点となる証明書” のことです。
企業ネットワークで Zscaler を利用している場合、Windows・Linux・ブラウザ・アプリケーションがこの証明書を信頼ストアに登録していないと、TLS 通信がすべて「証明書エラー」で失敗します。

3. Windows Server 2022 から Zscaler Root CA をエクスポートする

Windows は Zscaler Client Connector や GPO により
Zscaler Root CA が「信頼されたルート証明機関」に登録されています。

① 証明書管理コンソールを開く
Win + R

certlm.msc を入力して Enter
→ ローカルコンピュータの証明書ストアが開く

② Zscaler Root CA を探す
左ペイン → 信頼されたルート証明機関(Trusted Root Certification Authorities)

→ 証明書(Certificates)

以下のような名前の証明書が存在します:

Zscaler Root CA

③ 証明書をエクスポート
対象の Zscaler Root CA を右クリック

すべてのタスク → エクスポート

証明書エクスポートウィザードが起動

Base 64 encoded X.509(.CER) を選択

任意の場所に保存(例:C:\temp\zscaler-root.cer)

④sakuraエディタで開いて、Unixの改行コードで上書き保存する

4. RHEL 9.4 に Zscaler Root CA をインポートする

SCP などで Linux に転送します:

scp C:\temp\zscaler-root.cer ec2-user@<linux-host>:/tmp/

RHEL 9.4 に Zscaler Root CA をインポートする

RHEL 9 系は update-ca-trust を使って CA を登録します。

① 証明書を trust anchors に配置

sudo cp /tmp/zscaler-root.cer /etc/pki/ca-trust/source/anchors/

② CA を更新

sudo update-ca-trust

③ 正しく登録されたか確認

sudo trust list | grep -i zscaler

④TLS 通信の動作確認

curl の確認

curl https://www.google.com

Zscaler 経由でも TLS エラーが出なければ成功。

5. まとめ

  • Zscaler Root CA は Zscaler の SSL/TLS インスペクションのためのルート証明書

  • クライアント OS がこの証明書を信頼しないと HTTPS がすべて失敗する

  • Windows は自動登録されることが多いが、Linux は手動登録が必要

  • RHEL9 / Ubuntu / Java などは個別に trust store へ追加する必要がある

Last modified: 2026-07-08

Author