none
Active Direcory 証明書サービスを利用した場合の TLS1.0 接続について RRS feed

  • 質問

  • IE の詳細設定から SSL3.0 を外して TLS のみにして
    IIS でホストしているサイトに HTTPS 接続した場合に
    以下のようなエラーが表示される方いらっしゃいますか?

       ログの名前:  System
       ソース:      Schannel
       イベント ID: 36888
       レベル:      エラー
       ユーザー:    SYSTEM
       説明:
       次の致命的な警告が生成されました: 20。内部エラーの状態は 960 です。

       ログの名前:  System
       ソース:      Schannel
       イベント ID: 36888
       レベル:      エラー
       ユーザー:    SYSTEM
       説明:
       次の致命的な警告が生成されました: 40。内部エラーの状態は 1205 です。

       ログの名前:  System
       ソース:      Schannel
       イベント ID: 36874
       レベル:      エラー
       ユーザー:    SYSTEM
       説明:
       リモート クライアント アプリケーションから TLS 1.0 接続要求を受信しましたが、クライアントで
       サポートされている暗号がサーバーでサポートされていません。SSL 接続要求は失敗しました。

    管理ポリシーから
    「システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う」
    を「無効」に設定する事で、エラーが上がるのは回避出来ましたが
    エラーが出ること自体、何か設定をミスってるんでしょうか?

    参考
    [PRB] FIPS 準拠暗号化を有効にした後 SSL サイトにアクセスできない
    http://support.microsoft.com/kb/811834/ja

    勘違いしていた部分がありました。
    HTTPS を設定していないサイトに接続した場合に
    「次の致命的な警告が生成されました: 20。内部エラーの状態は 960 です。」
    KB811834 では、エラーは消えませんので、アクセスする度にログに上がります。
    下の2つのエラーはよくわかりません。。。

    2010年7月15日 6:53

回答

  • 小山さん、こんにちは。

    ・IISは 7.5 で、エラーイベントは、サーバー側に表示されます。(Windows Server 2008 R2 + フルパッチ)
    ・Schannel.DLL のバージョンは 6.1.7600.16385

    IISの構成は
    Web Platform Installer
    ・ASP.NET
    ・.NET拡張機能
    ・ISAPI拡張
    ・ISAPIフィルター
    ・静的なコンテンツ
    ・既定のドキュメント
    ・ディレクトリの参照
    ・HTTPエラー
    ・HTTPリダイレクト
    ・URL Rewrite2.0
    ・IIS6 メタベース互換性
    ・IIS6 WMI互換性
    ・IIS6 スクリプトツール
    ・IIS6 管理コンソール
    ・FTP Publishing Service 7.5
    ・WebDAV7.5
    ・FTP拡張機能
    ・HTTPログ
    ・ログツール
    ・要求監視
    ・追跡
    ・カスタムログ
    ・ODBCログ
    ・IIS 管理コンソール
    ・IIS 管理スクリプトおよびツール
    ・管理サービス
    ・静的なコンテンツの圧縮
    ・基本認証
    ・Windows認証
    ・ダイジェスト認証
    ・クライアント証明書マッピング認証
    ・URL認証
    ・要求のフィルタリング
    ・IPおよびドメインの制限
    ・.NET Framework3.5 SP1
    ・Windows PowerShell2.0


    ・サーバはドメインに参加し、証明機関のインストール。
    ・IISで稼働するサイトは HTTP1.1 のみ受け付け。
    ・LAN Manager 認証レベルは 5


    SSLを設定していないサイトへ HTTPS でアクセスすると、、、
    XP SP3 + Firefox 3.6.7 でアクセスした場合
     ログの名前: System
     ソース:       Schannel
     イベント ID: 36887
     レベル:       エラー
     ユーザー:   SYSTEM
     説明:
     次の致命的な警告が生成されました: 46。

    XP SP3 + IE8 でアクセスした場合 ※Windows7+IE8 でも同じでした。
     ログの名前: System
     ソース:       Schannel
     イベント ID: 36888
     レベル:       エラー
     ユーザー:   SYSTEM
     説明:
     次の致命的な警告が生成されました: 20。内部エラーの状態は 960 です。
    と、サーバーのログに書き込まれまるようです。

    同様の現象が出ている方は、いらっしゃらないようなので
    再構築して順番に確認していく必要がありそうですね…

     

    原因が判明しました。
    サイトバインドに https で IPアドレスに * を指定していると
    複数のIPアドレスを振っている場合に、そんなエラーを吐くようです。

     

    • 回答としてマーク 藤森幸治 2010年7月21日 6:29
    2010年7月21日 5:54

すべての返信

  • こんにちは。はじめまして。

    申し訳ありません不明点を確認させていただきたいのですが、このエラーイベントは、どこに表示されているのでしょうか?(サーバー側でしょうか?クライアント側でしょうか?)それと、IE、IIS のバージョンと、上記イベントが表示されていたマシンでの Schannel のバージョンなどはどうなっていますでしょうか。

    #Schannel の不具合が原因になる場合もあるようなので、念のための確認でした。

    小山
    http://keicode.com/

    2010年7月20日 21:32
  • 小山さん、こんにちは。

    ・IISは 7.5 で、エラーイベントは、サーバー側に表示されます。(Windows Server 2008 R2 + フルパッチ)
    ・Schannel.DLL のバージョンは 6.1.7600.16385

    IISの構成は
    Web Platform Installer
    ・ASP.NET
    ・.NET拡張機能
    ・ISAPI拡張
    ・ISAPIフィルター
    ・静的なコンテンツ
    ・既定のドキュメント
    ・ディレクトリの参照
    ・HTTPエラー
    ・HTTPリダイレクト
    ・URL Rewrite2.0
    ・IIS6 メタベース互換性
    ・IIS6 WMI互換性
    ・IIS6 スクリプトツール
    ・IIS6 管理コンソール
    ・FTP Publishing Service 7.5
    ・WebDAV7.5
    ・FTP拡張機能
    ・HTTPログ
    ・ログツール
    ・要求監視
    ・追跡
    ・カスタムログ
    ・ODBCログ
    ・IIS 管理コンソール
    ・IIS 管理スクリプトおよびツール
    ・管理サービス
    ・静的なコンテンツの圧縮
    ・基本認証
    ・Windows認証
    ・ダイジェスト認証
    ・クライアント証明書マッピング認証
    ・URL認証
    ・要求のフィルタリング
    ・IPおよびドメインの制限
    ・.NET Framework3.5 SP1
    ・Windows PowerShell2.0


    ・サーバはドメインに参加し、証明機関のインストール。
    ・IISで稼働するサイトは HTTP1.1 のみ受け付け。
    ・LAN Manager 認証レベルは 5


    SSLを設定していないサイトへ HTTPS でアクセスすると、、、
    XP SP3 + Firefox 3.6.7 でアクセスした場合
     ログの名前: System
     ソース:       Schannel
     イベント ID: 36887
     レベル:       エラー
     ユーザー:   SYSTEM
     説明:
     次の致命的な警告が生成されました: 46。

    XP SP3 + IE8 でアクセスした場合 ※Windows7+IE8 でも同じでした。
     ログの名前: System
     ソース:       Schannel
     イベント ID: 36888
     レベル:       エラー
     ユーザー:   SYSTEM
     説明:
     次の致命的な警告が生成されました: 20。内部エラーの状態は 960 です。
    と、サーバーのログに書き込まれまるようです。

    同様の現象が出ている方は、いらっしゃらないようなので
    再構築して順番に確認していく必要がありそうですね…

     

    原因が判明しました。
    サイトバインドに https で IPアドレスに * を指定していると
    複数のIPアドレスを振っている場合に、そんなエラーを吐くようです。

     

    • 回答としてマーク 藤森幸治 2010年7月21日 6:29
    2010年7月21日 5:54