セキュリティ更新プログラム MS04-011 をインストール後、"403.13 クライアント証明書が無効です" というエラー メッセージが表示される

文書翻訳 文書翻訳
文書番号: 841632 - 対象製品
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

現象

インターネット インフォメーション サービス (IIS) 5.0 を実行している Windows 2000 Server ベースのコンピュータにセキュリティ更新プログラム MS04-011 を適用すると、証明書を選択した後、次のエラー メッセージが表示されることがあります。
HTTP 403.13 - アクセスは許可されていません : クライアント証明書が無効です。
相互認証が有効になっている場合、このエラー メッセージが表示される可能性があります。

原因

この問題が発生するのは、証明書失効リスト (CRL) 検索のタイムアウトが原因です。MS04-011 では、ネットワーク タイムアウトに対して新しい Crypto API (CAPI) の動作が導入されています。この変更は当初、CRL 検索の処理中、対象の URL にアクセスできない場合に CAPI が長時間ブロックされるという問題に対処するために加えられました。Windows 2000 Server に MS04-011 を適用した場合、デフォルトのタイムアウト時間は 15 秒に設定されます。Windows 2000 Server に MS04-011 を適用した構成では、バックグラウンドのスレッドでダウンロードの再試行を行う機能があり、このデフォルトのタイムアウト時間は 60 秒です。LDAP (Lightweight Directory Access Protocol) URL で指定された場所にある CRL はスループットが低いため、特に影響を受けやすくなっています。

解決方法

マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、修正プログラムはこの資料に記載された問題のみを修正することを目的としており、障害があったコンピュータに対してのみ適用することを推奨します。この修正プログラムは、今後さらにテストを行う場合があります。この問題で深刻な影響を受けていない場合は、この修正プログラムが含まれる次の Microsoft Windows 2000 Service Pack がリリースされるまで待つことを推奨します。

この問題を解決するには、Microsoft Product Support Services にお問い合わせのうえ、修正プログラムを入手してください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次のマイクロソフト Web ページを参照してください。
http://support.microsoft.com/contactus/?ws=support
: Microsoft Support 担当者が、特定の更新プログラムを適用することにより問題が解決されると判断した場合、まれに通常サポート依頼にかかる料金が免除されることがあります。ただし、特定の更新プログラムの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。

PC/AT 互換機

   日付           時刻    バージョン          サイズ    ファイル名
   ------------------------------------------------------------------
   2004/03/24  11:19  5.0.2195.6876    388,368  advapi32.dll    
   2004/03/24  11:19  5.0.2195.6824     42,256  basesrv.dll     
   2004/03/24  11:19  5.0.2195.6866     69,904  browser.dll     
   2004/03/24  10:49  5.0.2195.6824    312,592  cmd.exe         
   2004/07/14  10:27  5.131.2195.6926  533,776  crypt32.dll     
   2004/07/14  10:27  5.131.2195.6926   62,736  cryptnet.dll    
   2004/03/24  11:19  5.0.2195.6868     76,048  cryptsvc.dll    
   2004/03/24  11:19  5.0.2195.6824    134,928  dnsapi.dll      
   2004/03/24  11:19  5.0.2195.6876     92,432  dnsrslvr.dll    
   2001/11/16  08:27                     5,149  empty.cat       
   2004/03/24  11:19  5.0.2195.6883     47,888  eventlog.dll    
   2003/06/20  05:05  5.0.2195.6660    233,744  gdi32.dll       
   2004/03/24  11:19  5.0.2195.6890    143,632  kdcsvc.dll      
   2004/03/11  11:37  5.0.2195.6903    210,192  kerberos.dll    
   2004/03/24  11:19  5.0.2195.6897    936,208  kernel32.dll    
   2003/09/21  09:32  5.0.2195.6824     71,888  ksecdd.sys      
   2004/03/24  10:49  5.0.2195.6902    520,976  lsasrv.dll      
   2004/03/24  10:44  5.0.2195.6902     33,552  lsass.exe       
   2004/03/24  11:19  5.0.2195.6824     54,544  mpr.dll         
   2004/07/14  10:27  5.0.2195.6958    335,120  msgina.dll      
   2003/06/20  05:05  5.0.2195.6680    117,520  msv1_0.dll      
   2004/03/24  11:19  5.0.2195.6897    312,592  netapi32.dll    
   2003/06/20  05:05  5.0.2195.6695    371,984  netlogon.dll    
   2004/03/24  11:19  5.0.2195.6896  1,028,880  ntdsa.dll       
   2004/03/24  11:19  5.0.2195.6824    115,984  psbase.dll      
   2004/03/24  11:19  5.0.2195.6892     90,264  rdpwd.sys       
   2004/03/24  11:19  5.0.2195.6897    388,368  samsrv.dll      
   2004/03/24  11:19  5.0.2195.6893    111,376  scecli.dll      
   2004/03/24  11:19  5.0.2195.6903    253,200  scesrv.dll      
   2004/06/05  08:11  5.0.2195.6935    465,408  sp3res.dll      
   2004/04/06  02:27  5.4.15.0           6,656  spmsg.dll      
   2004/04/06  02:28  5.4.15.0         158,208  spuninst.exe      
   2004/03/24  11:19  5.0.2195.6897    403,216  user32.dll      
   2004/07/14  10:27  5.0.2195.6958    393,488  userenv.dll     
   2004/03/24  11:19  5.0.2195.6824     57,104  w32time.dll     
   2004/03/24  10:49  5.0.2195.6824     63,248  w32tm.exe       
   2004/07/13  18:15  5.0.2195.6958  1,631,760  win32k.sys      
   2003/12/13  06:38  5.1.2600.1327    311,296  winhttp.dll     
   2004/03/24  10:44  5.0.2195.6898    181,520  winlogon.exe    
   2004/03/24  11:19  5.0.2195.6826    259,344  winsrv.dll      
   2004/03/24  11:19  5.131.2195.6824  167,184  wintrust.dll    
   2004/03/24  11:19  5.0.2195.6897    936,208  kernel32.dll    
   2004/07/13  18:15  5.0.2195.6958  1,631,760  win32k.sys      
   2004/03/24  11:19  5.0.2195.6826    259,344  winsrv.dll      
   2003/09/20  07:09                     3,394  eula.txt        
   2004/07/14  10:56                    19,262  KB841632.CAT    
   2004/04/06  02:28  5.4.15.0          22,016  spcustom.dll    
   2004/04/06  02:27  5.4.15.0         616,960  update.exe      
   2004/07/14  10:22                    44,025  update.inf      
   2004/07/14  10:54                     2,881  update.ver      

NEC PC-9800 シリーズ

   日付           時刻    バージョン          サイズ    ファイル名
   ------------------------------------------------------------------
   2004/03/24  11:19  5.0.2195.6876    388,368  advapi32.dll    
   2004/03/24  11:19  5.0.2195.6824     42,256  basesrv.dll     
   2004/03/24  11:19  5.0.2195.6866     69,904  browser.dll     
   2004/03/24  10:44  5.0.2195.6824    312,592  cmd.exe         
   2004/07/14  10:29  5.131.2195.6926       533,776  crypt32.dll     
   2004/07/14  10:29  5.131.2195.6926        62,736  cryptnet.dll    
   2004/03/24  11:19  5.0.2195.6868     76,048  cryptsvc.dll    
   2004/03/24  11:19  5.0.2195.6824    134,928  dnsapi.dll      
   2004/03/24  11:19  5.0.2195.6876     92,432  dnsrslvr.dll    
   2001/11/16  08:27                     5,149  empty.cat       
   2004/03/24  11:19  5.0.2195.6883     47,888  eventlog.dll    
   2003/06/20  05:05  5.0.2195.6660    233,744  gdi32.dll       
   2004/03/24  11:19  5.0.2195.6890    143,632  kdcsvc.dll      
   2004/03/11  11:37  5.0.2195.6903    210,192  kerberos.dll    
   2004/03/24  11:19  5.0.2195.6897    936,208  kernel32.dll    
   2003/09/21  09:32  5.0.2195.6824     71,888  ksecdd.sys      
   2004/03/24  10:44  5.0.2195.6902    520,976  lsasrv.dll      
   2004/03/24  10:44  5.0.2195.6902     33,552  lsass.exe       
   2004/03/24  11:19  5.0.2195.6824     54,544  mpr.dll         
   2004/07/14  10:29  5.0.2195.6958    335,120  msgina.dll      
   2003/06/20  05:05  5.0.2195.6680    117,520  msv1_0.dll      
   2004/03/24  11:19  5.0.2195.6897    312,592  netapi32.dll    
   2003/06/20  05:05  5.0.2195.6695    371,984  netlogon.dll    
   2004/03/24  11:19  5.0.2195.6896  1,028,880  ntdsa.dll       
   2004/03/24  11:19  5.0.2195.6824    115,984  psbase.dll      
   2004/03/24  11:19  5.0.2195.6892     90,264  rdpwd.sys       
   2004/03/24  11:19  5.0.2195.6897    388,368  samsrv.dll      
   2004/03/24  11:19  5.0.2195.6893    111,376  scecli.dll      
   2004/03/24  11:19  5.0.2195.6903    253,200  scesrv.dll      
   2004/06/05  08:11  5.0.2195.6935    465,408  sp3res.dll      
   2004/04/06  02:27  5.4.15.0           6,656  spmsg.dll      
   2004/04/06  02:28  5.4.15.0         158,208  spuninst.exe      
   2004/03/24  11:19  5.0.2195.6897    403,216  user32.dll      
   2004/07/14  10:29  5.0.2195.6958    393,488  userenv.dll     
   2004/03/24  11:19  5.0.2195.6824     57,104  w32time.dll     
   2004/03/24  10:44  5.0.2195.6824     63,248  w32tm.exe       
   2004/07/13  18:19  5.0.2195.6958  1,631,760  win32k.sys      
   2003/12/13  06:38  5.1.2600.1327    311,296  winhttp.dll     
   2004/03/24  10:44  5.0.2195.6898    181,520  winlogon.exe    
   2004/03/24  11:19  5.0.2195.6826    259,344  winsrv.dll      
   2004/03/24  11:19  5.131.2195.6824  167,184  wintrust.dll    
   2004/03/24  11:19  5.0.2195.6897    936,208  kernel32.dll    
   2004/07/13  18:19  5.0.2195.6958  1,631,760  win32k.sys      
   2004/03/24  11:19  5.0.2195.6826    259,344  winsrv.dll      
   2003/09/20  07:09                     3,394  eula.txt        
   2004/07/14  10:57                    19,262  KB841632.CAT    
   2004/04/06  02:28  5.4.15.0          22,016  spcustom.dll    
   2004/04/06  02:27  5.4.15.0         616,960  update.exe      
   2004/07/14  10:23                    44,045  update.inf      
   2004/07/14  10:54                     2,881  update.ver      
: サービスで CRL を検索する必要がある場合、コンピュータを再起動する必要があります。たとえば、LSASS ではスマート カード ログオンの検証を行う際に CRL を検索する必要があります。コンピュータを再起動しないと、この種のサービスでレジストリの変更が認識されません。

状況

マイクロソフトでは、この問題をこの資料の対象製品として記載されているマイクロソフト製品の問題として認識しています。

詳細

警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。

この修正プログラムを適用すると、以下の URL 検索タイムアウト値を構成できます。
  • ChainUrlRetrievalTimeoutMilliseconds
  • ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds
これらの値は、以下のレジストリ キーにある値を使用して構成できます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
名前 : ChainUrlRetrievalTimeoutMilliseconds
種類 : REG_DWORD
値 : タイムアウトをミリ秒で指定します。0 に設定した場合または値が存在しない場合、デフォルト値の 15000 ミリ秒に設定されます。
ChainUrlRetrievalTimeoutMilliseconds は、機関情報アクセス (AIA) の検索および非累積的な CRL 検索で使用されるデフォルトの URL 検索タイムアウトです。
名前 : ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds :
種類 : REG_DWORD
値 : タイムアウトをミリ秒で指定します。0 に設定した場合または値が存在しない場合、デフォルト値の 20000 ミリ秒に設定されます。
ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds は、失効した証明書の URL 検索のデフォルトの累積的なタイムアウト時間です。最初の失効 URL 検索ではこの半分の時間がタイムアウト時間として使用されます。

関連情報

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
841641 MS04-011 のインストール後、WinInet プロキシの設定が原因で、IIS により "403.13 クライアント証明書が無効です" というエラー メッセージが表示される
841642 IIS 5.0 を実行するコンピュータにセキュリティ更新プログラム MS04-011 をインストール後、クライアント証明書でエラーが発生する

プロパティ

文書番号: 841632 - 最終更新日: 2006年5月19日 - リビジョン: 6.3
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Services 5.0
キーワード:?
kbfix kbqfe kbprb KB841632
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
サポート期間が終了した「サポート技術情報」資料に関する免責事項
この資料は、マイクロソフトでサポートされていない製品について記述したものです。そのため、この資料は現状ベースで提供されており、今後更新されることはありません。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com