KB 931125をインストールした後の SSL/TLS 通信の問題

  • [アーティクル]

この記事では、KB 931125をインストールした後に発生する SSL/TLS 通信の問題の解決策について説明します。

適用対象:Windows Server 2008 R2 Service Pack 1、Windows Server 2012 R2

元の KB 番号: 2801679

現象

2012 年 12 月 11 日以降、TLS ベースの認証に依存するアプリケーションと操作は、明らかな構成変更はありませんが、突然失敗する可能性があります。 失敗する可能性がある一部のアプリケーションと操作には、次のものが含まれますが、これらに限定されません。

  • 証明書ベースの認証を使用するワイヤレス ネットワーク アクセス
  • 証明書ベースの認証を使用する有線ネットワーク アクセス
  • Lync または Office Communications Server へのクライアント接続
  • ユニファイド メッセージングと共にExchange Serverを使用するボイス メール
  • SSL 対応の Web サイト アクセス
  • Outlook ログオン
  • OS ブートの遅延 (低速ブート)
  • ユーザー ログオンの遅延 (低速ログオン)

Windows またはアプリケーション固有のイベント ログに記録され、この記事で説明する現象をスコープまたは明確に特定するイベントには、次の表に示すイベントが含まれますが、これらに限定されません。

イベント ログ イベント ソース イベント ID イベント テキスト
System Schannel 36885 クライアント認証を求める場合、このサーバーは信頼された証明機関の一覧をクライアントに送信します。 クライアントはこのリストを使用して、サーバーによって信頼されるクライアント証明書を選択します。 現在、このサーバーは非常に多くの証明機関を信頼しているため、リストが長すぎます。 したがって、このリストは切り捨てられました。 このマシンの管理者は、クライアント認証で信頼されている証明機関を確認し、信頼する必要のない証明機関を削除する必要があります。
System Schannel 36887 次の致命的なアラートが受信されました: 47
System NapAgent 39 Network Access Protection エージェントは、正常性証明書を要求する HRA を特定できませんでした。 ネットワークの変更または GP が構成されている場合、構成の変更により、正常性証明書の取得がさらに試行されます。 それ以外の場合は、それ以上の試行は行われません。 詳細については、HRA 管理者にお問い合わせください。
System RemoteAccess 20225 ポート
のポイントツーポイント プロトコル モジュールで、VPN2-509、UserName: <username> というエラーが発生しました。 RAS/VPN サーバーで構成されたポリシーが原因で、接続が禁止されました。 具体的には、ユーザー名とパスワードを確認するためにサーバーによって使用される認証方法が、接続プロファイルで構成されている認証方法と一致しない可能性があります。 RAS サーバーの管理者に連絡し、このエラーを通知してください。
System RemoteAccess 20271 IP アドレス>から接続されているが、次の理由により認証試行に失敗したユーザー<ユーザー名>:
RAS/VPN サーバーに構成されたポリシーにより、接続が禁止<されました。 具体的には、ユーザー名とパスワードを確認するためにサーバーによって使用される認証方法が、接続プロファイルで構成されている認証方法と一致しない可能性があります。 RAS サーバーの管理者に連絡し、このエラーを通知してください。

原因

これらの問題は、2012 KB 931125 更新プログラム パッケージを使用してサード パーティのルート証明機関を更新した場合に発生する可能性があります。 2012 年 12 月 11 日に投稿された KB 931125 パッケージは、クライアント SKU のみを対象としていました。 ただし、Windows Updateと WSUS では、サーバー SKU にも短時間提供されていました。

このパッケージは、330 を超えるサードパーティのルート証明機関をインストールしました。 現在、Schannel セキュリティ パッケージでサポートされている信頼された証明機関の一覧の最大サイズは 16 KB です。 サード パーティのルート証明機関を大量に使用すると、16,000 の制限を超え、TLS/SSL 通信の問題が発生します。

解決方法

WSUS を使用していて、2012 年 12 月の KB 931125更新プログラムをインストールしていない場合は、WSUS サーバーを同期してから、サーバーが更新プログラムをインストールしないように有効期限を承認する必要があります。

2012 KB 931125 更新プログラム パッケージを 2012 年 12 月にインストールした場合は、次の解決策を使用して、サードパーティのルート証明機関が大量に存在するすべてのサーバーで追加のサード パーティルート証明機関を削除する必要があります。

注:

このソリューションは、すべてのサード パーティのルート証明機関を削除します。 サーバーにWindows Updateへの接続がある場合は、KB 931125でも説明されているように、必要に応じてサード パーティのルート証明機関が自動的に追加されます。 影響を受けるサーバーがインターネットから分離または切断されている場合は、必要なサード パーティのルート証明機関を、以前と同様に手動で追加する必要があります。 (または、グループ ポリシーを使用してインストールすることもできます)。

この問題を解決するには、次のレジストリ キーを削除します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

これを行うには、次の手順を実行します。

  1. レジストリのエディターを開始する
  2. 次のレジストリ サブキーを見つけます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. [証明書] と呼ばれるキーを右クリックして削除します。

注:

システムに変更を加える前に、レジストリと影響を受けるキーのバックアップを作成してください。

詳細

これらの問題は、TLS/SSL サーバーに信頼されたルート認定リストに多数のエントリが含まれている場合に発生する可能性があります。 次の条件に該当する場合、サーバーは信頼できる証明機関の一覧をクライアントに送信します。

  • サーバーは、トランスポート層セキュリティ (TLS)/SSL プロトコルを使用してネットワーク トラフィックを暗号化します。
  • 認証ハンドシェイク プロセス中の認証には、クライアント証明書が必要です。

この信頼された証明機関の一覧は、サーバーがクライアント証明書を受け入れる機関を表します。 サーバーによって認証するには、クライアントに、サーバーの一覧からルート証明書への証明書のチェーンに存在する証明書が必要です。 これは、クライアント証明書が常にチェーンの最後にあるエンド エンティティ証明書であるためです。 クライアント証明書はチェーンの一部ではありません。

現在、Schannel セキュリティ パッケージでサポートされている信頼された証明機関の一覧の最大サイズは、Windows Server 2008、Windows Server 2008 R2、および Windows Server 2012 で 16 KB です。

Schannel は、ローカル コンピューター上の信頼されたルート証明機関ストアを検索して、信頼された証明機関の一覧を作成します。 クライアント認証のために信頼されているすべての証明書が一覧に追加されます。 このリストのサイズが 16 KB を超える場合、Schannel は警告イベント ID 36855 をログに記録します。 次に、Schannel は信頼されたルート証明書の一覧を切り捨て、この切り捨てられた一覧をクライアント コンピューターに送信します。

クライアント コンピューターが信頼されたルート証明書の切り捨てられた一覧を受け取ると、クライアント コンピューターに、信頼された証明書発行者のチェーンに存在する証明書がない可能性があります。 たとえば、クライアント コンピューターには、信頼された証明機関の一覧から Schannel が切り捨てた信頼されたルート証明書に対応する証明書がある場合があります。 そのため、サーバーはクライアントを認証できません。