現在オフラインです。再接続するためにインターネットの接続を待っています

セキュリティ更新プログラム MS04-011 をインストール後、"403.13 クライアント証明書が無効です" というエラー メッセージが表示される

サポート期間が終了した「サポート技術情報」資料に関する免責事項
この資料は、マイクロソフトでサポートされていない製品について記述したものです。そのため、この資料は現状ベースで提供されており、今後更新されることはありません。
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
現象
インターネット インフォメーション サービス (IIS) 5.0 を実行している Windows 2000 Server ベースのコンピュータにセキュリティ更新プログラム MS04-011 を適用すると、証明書を選択した後、次のエラー メッセージが表示されることがあります。
HTTP 403.13 - アクセスは許可されていません : クライアント証明書が無効です。
相互認証が有効になっている場合、このエラー メッセージが表示される可能性があります。
原因
この問題が発生するのは、証明書失効リスト (CRL) 検索のタイムアウトが原因です。MS04-011 では、ネットワーク タイムアウトに対して新しい Crypto API (CAPI) の動作が導入されています。この変更は当初、CRL 検索の処理中、対象の URL にアクセスできない場合に CAPI が長時間ブロックされるという問題に対処するために加えられました。Windows 2000 Server に MS04-011 を適用した場合、デフォルトのタイムアウト時間は 15 秒に設定されます。Windows 2000 Server に MS04-011 を適用した構成では、バックグラウンドのスレッドでダウンロードの再試行を行う機能があり、このデフォルトのタイムアウト時間は 60 秒です。LDAP (Lightweight Directory Access Protocol) URL で指定された場所にある CRL はスループットが低いため、特に影響を受けやすくなっています。
解決方法
マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、修正プログラムはこの資料に記載された問題のみを修正することを目的としており、障害があったコンピュータに対してのみ適用することを推奨します。この修正プログラムは、今後さらにテストを行う場合があります。この問題で深刻な影響を受けていない場合は、この修正プログラムが含まれる次の Microsoft Windows 2000 Service Pack がリリースされるまで待つことを推奨します。

この問題を解決するには、Microsoft Product Support Services にお問い合わせのうえ、修正プログラムを入手してください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次のマイクロソフト Web ページを参照してください。 : Microsoft Support 担当者が、特定の更新プログラムを適用することにより問題が解決されると判断した場合、まれに通常サポート依頼にかかる料金が免除されることがあります。ただし、特定の更新プログラムの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。

PC/AT 互換機

   日付           時刻    バージョン          サイズ    ファイル名   ------------------------------------------------------------------   2004/03/24  11:19  5.0.2195.6876    388,368  advapi32.dll       2004/03/24  11:19  5.0.2195.6824     42,256  basesrv.dll        2004/03/24  11:19  5.0.2195.6866     69,904  browser.dll        2004/03/24  10:49  5.0.2195.6824    312,592  cmd.exe            2004/07/14  10:27  5.131.2195.6926  533,776  crypt32.dll        2004/07/14  10:27  5.131.2195.6926   62,736  cryptnet.dll       2004/03/24  11:19  5.0.2195.6868     76,048  cryptsvc.dll       2004/03/24  11:19  5.0.2195.6824    134,928  dnsapi.dll         2004/03/24  11:19  5.0.2195.6876     92,432  dnsrslvr.dll       2001/11/16  08:27                     5,149  empty.cat          2004/03/24  11:19  5.0.2195.6883     47,888  eventlog.dll       2003/06/20  05:05  5.0.2195.6660    233,744  gdi32.dll          2004/03/24  11:19  5.0.2195.6890    143,632  kdcsvc.dll         2004/03/11  11:37  5.0.2195.6903    210,192  kerberos.dll       2004/03/24  11:19  5.0.2195.6897    936,208  kernel32.dll       2003/09/21  09:32  5.0.2195.6824     71,888  ksecdd.sys         2004/03/24  10:49  5.0.2195.6902    520,976  lsasrv.dll         2004/03/24  10:44  5.0.2195.6902     33,552  lsass.exe          2004/03/24  11:19  5.0.2195.6824     54,544  mpr.dll            2004/07/14  10:27  5.0.2195.6958    335,120  msgina.dll         2003/06/20  05:05  5.0.2195.6680    117,520  msv1_0.dll         2004/03/24  11:19  5.0.2195.6897    312,592  netapi32.dll       2003/06/20  05:05  5.0.2195.6695    371,984  netlogon.dll       2004/03/24  11:19  5.0.2195.6896  1,028,880  ntdsa.dll          2004/03/24  11:19  5.0.2195.6824    115,984  psbase.dll         2004/03/24  11:19  5.0.2195.6892     90,264  rdpwd.sys          2004/03/24  11:19  5.0.2195.6897    388,368  samsrv.dll         2004/03/24  11:19  5.0.2195.6893    111,376  scecli.dll         2004/03/24  11:19  5.0.2195.6903    253,200  scesrv.dll         2004/06/05  08:11  5.0.2195.6935    465,408  sp3res.dll         2004/04/06  02:27  5.4.15.0           6,656  spmsg.dll         2004/04/06  02:28  5.4.15.0         158,208  spuninst.exe         2004/03/24  11:19  5.0.2195.6897    403,216  user32.dll         2004/07/14  10:27  5.0.2195.6958    393,488  userenv.dll        2004/03/24  11:19  5.0.2195.6824     57,104  w32time.dll        2004/03/24  10:49  5.0.2195.6824     63,248  w32tm.exe          2004/07/13  18:15  5.0.2195.6958  1,631,760  win32k.sys         2003/12/13  06:38  5.1.2600.1327    311,296  winhttp.dll        2004/03/24  10:44  5.0.2195.6898    181,520  winlogon.exe       2004/03/24  11:19  5.0.2195.6826    259,344  winsrv.dll         2004/03/24  11:19  5.131.2195.6824  167,184  wintrust.dll       2004/03/24  11:19  5.0.2195.6897    936,208  kernel32.dll       2004/07/13  18:15  5.0.2195.6958  1,631,760  win32k.sys         2004/03/24  11:19  5.0.2195.6826    259,344  winsrv.dll         2003/09/20  07:09                     3,394  eula.txt           2004/07/14  10:56                    19,262  KB841632.CAT       2004/04/06  02:28  5.4.15.0          22,016  spcustom.dll       2004/04/06  02:27  5.4.15.0         616,960  update.exe         2004/07/14  10:22                    44,025  update.inf         2004/07/14  10:54                     2,881  update.ver      

NEC PC-9800 シリーズ

   日付           時刻    バージョン          サイズ    ファイル名   ------------------------------------------------------------------   2004/03/24  11:19  5.0.2195.6876    388,368  advapi32.dll       2004/03/24  11:19  5.0.2195.6824     42,256  basesrv.dll        2004/03/24  11:19  5.0.2195.6866     69,904  browser.dll        2004/03/24  10:44  5.0.2195.6824    312,592  cmd.exe            2004/07/14  10:29  5.131.2195.6926       533,776  crypt32.dll        2004/07/14  10:29  5.131.2195.6926        62,736  cryptnet.dll       2004/03/24  11:19  5.0.2195.6868     76,048  cryptsvc.dll       2004/03/24  11:19  5.0.2195.6824    134,928  dnsapi.dll         2004/03/24  11:19  5.0.2195.6876     92,432  dnsrslvr.dll       2001/11/16  08:27                     5,149  empty.cat          2004/03/24  11:19  5.0.2195.6883     47,888  eventlog.dll       2003/06/20  05:05  5.0.2195.6660    233,744  gdi32.dll          2004/03/24  11:19  5.0.2195.6890    143,632  kdcsvc.dll         2004/03/11  11:37  5.0.2195.6903    210,192  kerberos.dll       2004/03/24  11:19  5.0.2195.6897    936,208  kernel32.dll       2003/09/21  09:32  5.0.2195.6824     71,888  ksecdd.sys         2004/03/24  10:44  5.0.2195.6902    520,976  lsasrv.dll         2004/03/24  10:44  5.0.2195.6902     33,552  lsass.exe          2004/03/24  11:19  5.0.2195.6824     54,544  mpr.dll            2004/07/14  10:29  5.0.2195.6958    335,120  msgina.dll         2003/06/20  05:05  5.0.2195.6680    117,520  msv1_0.dll         2004/03/24  11:19  5.0.2195.6897    312,592  netapi32.dll       2003/06/20  05:05  5.0.2195.6695    371,984  netlogon.dll       2004/03/24  11:19  5.0.2195.6896  1,028,880  ntdsa.dll          2004/03/24  11:19  5.0.2195.6824    115,984  psbase.dll         2004/03/24  11:19  5.0.2195.6892     90,264  rdpwd.sys          2004/03/24  11:19  5.0.2195.6897    388,368  samsrv.dll         2004/03/24  11:19  5.0.2195.6893    111,376  scecli.dll         2004/03/24  11:19  5.0.2195.6903    253,200  scesrv.dll         2004/06/05  08:11  5.0.2195.6935    465,408  sp3res.dll         2004/04/06  02:27  5.4.15.0           6,656  spmsg.dll         2004/04/06  02:28  5.4.15.0         158,208  spuninst.exe         2004/03/24  11:19  5.0.2195.6897    403,216  user32.dll         2004/07/14  10:29  5.0.2195.6958    393,488  userenv.dll        2004/03/24  11:19  5.0.2195.6824     57,104  w32time.dll        2004/03/24  10:44  5.0.2195.6824     63,248  w32tm.exe          2004/07/13  18:19  5.0.2195.6958  1,631,760  win32k.sys         2003/12/13  06:38  5.1.2600.1327    311,296  winhttp.dll        2004/03/24  10:44  5.0.2195.6898    181,520  winlogon.exe       2004/03/24  11:19  5.0.2195.6826    259,344  winsrv.dll         2004/03/24  11:19  5.131.2195.6824  167,184  wintrust.dll       2004/03/24  11:19  5.0.2195.6897    936,208  kernel32.dll       2004/07/13  18:19  5.0.2195.6958  1,631,760  win32k.sys         2004/03/24  11:19  5.0.2195.6826    259,344  winsrv.dll         2003/09/20  07:09                     3,394  eula.txt           2004/07/14  10:57                    19,262  KB841632.CAT       2004/04/06  02:28  5.4.15.0          22,016  spcustom.dll       2004/04/06  02:27  5.4.15.0         616,960  update.exe         2004/07/14  10:23                    44,045  update.inf         2004/07/14  10:54                     2,881  update.ver      
: サービスで CRL を検索する必要がある場合、コンピュータを再起動する必要があります。たとえば、LSASS ではスマート カード ログオンの検証を行う際に CRL を検索する必要があります。コンピュータを再起動しないと、この種のサービスでレジストリの変更が認識されません。

状況
マイクロソフトでは、この問題をこの資料の対象製品として記載されているマイクロソフト製品の問題として認識しています。
詳細
警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。

この修正プログラムを適用すると、以下の URL 検索タイムアウト値を構成できます。
  • ChainUrlRetrievalTimeoutMilliseconds
  • ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds
これらの値は、以下のレジストリ キーにある値を使用して構成できます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
名前 : ChainUrlRetrievalTimeoutMilliseconds
種類 : REG_DWORD
値 : タイムアウトをミリ秒で指定します。0 に設定した場合または値が存在しない場合、デフォルト値の 15000 ミリ秒に設定されます。
ChainUrlRetrievalTimeoutMilliseconds は、機関情報アクセス (AIA) の検索および非累積的な CRL 検索で使用されるデフォルトの URL 検索タイムアウトです。
名前 : ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds :
種類 : REG_DWORD
値 : タイムアウトをミリ秒で指定します。0 に設定した場合または値が存在しない場合、デフォルト値の 20000 ミリ秒に設定されます。
ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds は、失効した証明書の URL 検索のデフォルトの累積的なタイムアウト時間です。最初の失効 URL 検索ではこの半分の時間がタイムアウト時間として使用されます。
関連情報
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
841641 MS04-011 のインストール後、WinInet プロキシの設定が原因で、IIS により "403.13 クライアント証明書が無効です" というエラー メッセージが表示される
841642 IIS 5.0 を実行するコンピュータにセキュリティ更新プログラム MS04-011 をインストール後、クライアント証明書でエラーが発生する
MS04-011 403.13 CRL Timeout Retrieval
プロパティ

文書番号:841632 - 最終更新日: 05/19/2006 06:42:48 - リビジョン: 6.3

Microsoft Internet Information Services 5.0

  • kbfix kbqfe kbprb KB841632
フィードバック