OpenClaw のツールチェーンはネイティブ Windows PowerShell と WSL2 のどちらに入れるべきですか？

IT ポリシーが Windows 証明書ストアのみを信頼する場合はネイティブ Windows が有利です。bash 前提のスクリプトや Linux 専用依存、Ubuntu 上の nvm/fnm 標準化なら WSL2 を選びます。Node を固定せず境界をまたいで混在させないでください。版のズレはゲートウェイハンドシェイク不調の最大要因です。

HTTPS プロキシ背後で npm/pnpm が UNABLE_TO_VERIFY_LEAF_SIGNATURE になるとき、最初に何を直しますか？

ランタイムが使う信頼ストアに企業ルートおよび発行 CA をインポートします（ネイティブ Node は Windows の certmgr、WSL2/Linux は NODE_EXTRA_CA_FILES または update-ca-certificates）。本番で strict-ssl=false を恒常化しないでください。HTTPS_PROXY のスキームとポートを確認し、NO_PROXY にループバックとトンネル用ポートを含めます。

PowerShell では curl が通るのに WSL2 から 127.0.0.1 に届かないのはなぜですか？

WSL2 内の 127.0.0.1 は Linux 名前空間のループバックであり、Windows ホストと同一ではありません。WSL 世代に応じたホスト IP 転送設定を使うか、SSH トンネルと curl を OpenClaw を動かすのと同じ環境で実行してください。

デプロイガイド 2026-03-30 14 分

2026年 OpenClaw：Windows／Linux への導入とリモート macOS ゲートウェイ接続 — PowerShell と WSL2 の二系統、企業 HTTPS プロキシと Node 版固定の Runbook（再現排錯と FAQ）

物理 macOS 上の OpenClaw ゲートウェイを Windows や Linux から叩くチームは、しばしば Node ランタイムの分裂、企業 MITM による TLS、PowerShell と WSL2 で別物になる localhost の三つの継ぎ目で失敗します。本稿は意思決定マトリクス、7 ステップの検証、プロキシ設定のコピペ例、引用用しきい値、社内 Wiki に貼れる FAQ をまとめます。ゲートウェイ本体の入れ方は 2026年 OpenClaw v2026.4 最新インストール手順：ZoneMac物理ノードで24/7高可用AIエージェントを構築すると併読してください。

2026年 OpenClaw Windows Linux WSL2 企業プロキシとリモート macOS ゲートウェイ Runbook

1. 現場で実際に踏む落とし穴

シェル横断の二重思考。 PowerShell で Node 20、WSL2 で Node 18 だと OpenSSL の既定やグローバル npm パスが食い違い、レビューを通過しても「自分の端末では動く」インシデントが残ります。
企業 HTTPS プロキシと見えない MITM。 registry.npmjs.org や Git ホスト、モデル API までプロキシ経由になると、発行 CA をそのランタイムの信頼ストアに入れない限り TLS エラーで停止します。
localhost の非可搬性。 Windows で張った SSH -L が WSL2 の 127.0.0.1 に自動では現れず、OpenClaw CLI は成功でも IDE プラグインが死んだソケットを指す、という形が典型です。

物理ノードへの近接デプロイで往復遅延と運用負荷を抑える視点は、2026年 OpenClaw 設置避坑：なぜ「物理 Mac ノードの近接デプロイ」が AI エージェントの遅延解消における唯一の正解なのか？でも整理しています。

2. 意思決定マトリクス：PowerShell・WSL2・Linux

エンジニア一人につき OpenClaw クライアントの主環境を一つに決め、Wiki に残し、.nvmrc または package.json の engines で Node を揃えます。オンボーディングや端末監査では下表をそのままチェックリストにしてください。

観点	ネイティブ Windows（PowerShell）	WSL2（Ubuntu 等）	Linux デスクトップ
企業 TLS 信頼	Windows 証明書ストアと整合、IT 標準環境と相性がよい	WSL 側に CA を明示インポートが必要	`update-ca-certificates` または社内エージェント
HTTPS プロキシ運用	システムプロキシ + `HTTPS_PROXY`	`~/.bashrc` 等に設定、apt と npm の乖離に注意	ユーザセッションで一元化、必要なら systemd 上書きを文書化
Mac ゲートウェイへの SSH ローカル転送	Windows OpenSSH、`127.0.0.1` を Windows 側にバインド	CLI が WSL ならトンネルも WSL 内、127.0.0.1 をまたがない	macOS サーバと同じメンタルモデルで最も単純
Node 版の規律	fnm / nvm-windows、AV が `node.exe` をスキャンする点に留意	ディストロ内 fnm/nvm、engines を厳格に	WSL2 列と同様
向いている場面	IT が Windows ネイティブエージェントを必須にしている	bash 前提で Linux コンテナを毎日触る	社管 Linux ワークステーション

3. 7 ステップ展開（再現可能）

ステップ 1 — 目標 Node ラインを固定する

OpenClaw 2026.x は多くのリリースノートで Node 22 LTS を追従します。.nvmrc に 22.x、CLI を使うワークスペースの engines.node をコミットします。

ステップ 2 — 選んだシェルにだけ Node を入れる

Windows PowerShell（fnm 例）：

winget install Schniz.fnm
fnm install 22
fnm use 22
node -v

WSL2 / Ubuntu：

curl -fsSL https://fnm.vercel.app/install | bash
source ~/.bashrc
fnm install 22 && fnm use 22
node -v

ステップ 3 — プロキシ変数とバイパス一覧

大文字の変数名で統一します（ホスト／ポートは置換）：

export HTTPS_PROXY=http://proxy.corp.example:8080
export HTTP_PROXY=http://proxy.corp.example:8080
export NO_PROXY=localhost,127.0.0.1,::1,.corp.example,169.254.0.0/16

Windows では setx またはシステムのプロキシ設定で永続化し、ターミナルを開き直します。

ステップ 4 — 企業 CA チェーンを信頼させる

発行チェーンを PEM で書き出し、Linux/WSL2 の Node では NODE_EXTRA_CA_FILES=/path/to/corp-ca-bundle.pem を OpenClaw と同じプロファイルに載せます。ネイティブ Windows Node は Trusted Root／中間にインポートしてシェル再起動後、npm ping や最小の https.get で確認します。

ステップ 5 — OpenClaw CLI を入れ版を記録する

Artifactory 等の内部ミラーがある場合はそちらのパッケージ名に従います。サポート票には openclaw --version、Node、OS ビルドを必ず添付します。これだけで「謎切断」の半分は切り分けできます。

ステップ 6 — macOS ゲートウェイへトンネル規律を一つにする

SSH -L は CLI と同じ環境で張ります。例：ssh -N -L 18787:127.0.0.1:18787 user@mac-host（ポートは実設定に合わせる）。Tailscale Serve 運用なら、Mac 上の localhost ヘルスが緑であることをクライアント公開の前に確認します。

ステップ 7 — そのシェルから curl で検証する

curl -v http://127.0.0.1:18787/health（ドキュメントのパスに置換）と、Mac 上の 127.0.0.1 への curl を突き合わせます。ここがズレる場合はバインドアドレス、ポート競合、もう一方のサブシステムでトンネルを作った誤りがほとんどです。

4. 引用しやすい数値とポリシーノブ

Node の整合： Windows と WSL2 でマイナーが食い違うことを許すチームは、初週のゲートウェイ認証・WebSocket アップグレード系サポート件数がおよそ 2〜3 倍になりがちです。スカッド単位でマイナーを一本化してください。

長寿命トンネルのキープアライブ： ~/.ssh/config に ServerAliveInterval 30 と ServerAliveCountMax 4 を組み合わせると、ホテル Wi‑Fi や厳しい中間装置でも切断しにくくなります。

プロキシバイパス： NO_PROXY に 127.0.0.1, localhost, ::1 を必ず含めます。忘れるとループバックをプロキシが分類しようとして 5〜15 秒の停滞がリクエストごとに乗ります。

5. FAQ と症状別トラブルシュート

PowerShell と WSL2 のどちらに入れるべき？

セクション 2 の表を参照してください。誤答は「固定なしで両方」です。セキュリティが Windows 信頼ストア一本なら PowerShell 既定、bash 自動化が主なら WSL2 にコミットしトンネルも同じ場所で張ります。

ブラウザは通るのに npm/pnpm だけ TLS エラー

ブラウザは OS ストアを使い、Node は自動では追従しません。ランタイム向けに CA を直し、診断以外で strict-ssl=false を残さないでください。

PowerShell では curl が通るが WSL2 では通らない

転送を Windows で張り、プロセスは WSL2 にある（またはその逆）パターンです。OpenClaw を動かすサブシステム側でトンネルを作り直すか、Windows ビルドの WSL ホスト転送ドキュメントに沿ってアドレスを合わせます。

トンネル越しに HTTP 502 や真っ白 UI

まず Mac の localhost で curl が通るか確認します。Mac 単体で失敗ならゲートウェイと launchd ログ。Mac で成功なら -L の順序、ローカルポート衝突、ループバックが HTTP なのに HTTPS 前提だった誤りを疑います。

6. 物理 Mac ゲートウェイを Apple Silicon に置く理由

本 Runbook のクライアント側対応は全体の半分に過ぎません。OpenClaw ゲートウェイを macOS で動かすと、並列エージェント負荷に Apple Silicon の統合メモリ帯域が効き、launchd と相性のよい 7×24 運用、CI と同型の Unix ツールチェーンをそのまま使えます。Mac mini クラスはアイドル時 約 4W 前後と言われ、SSH 転送とヘルスプローブを常時張る説明コストがタワー PC より低くなります。

Gatekeeper・SIP・FileVault が重なり、長寿命トークンを載せるゲートウェイでは、典型の Windows ラップトップ SOE よりドライバインストール系の脅威面が小さくなりがちです。セクション 3 の経路を「退屈に安定」させたいなら、ゲートウェイは静音で効率のよい Apple ハードに置き、Windows／Linux は統制されたクライアントに限定するのが筋です。

分散チームでゲートウェイを標準化するなら、2026 年時点で Mac mini M4 は遅延と電力コストのバランスが取りやすい選択肢です。ZoneMac で物理 macOS ノードを確認し、本稿の手順を本番相当のホストに載せ替えてください。

常時オン macOS ホスト

Win/Linux Runbook と組み合わせる物理 Mac mini

本記事のクライアント手順に、パッチ済みでオンラインを保つ Apple Silicon ノードを載せて運用を完結させます。

物理 Apple Silicon SSH 標準低アイドル電力