none
パソコンのログインパスワードを変更すると証明書が必要なWebサイトにアクセス出来ない。 RRS feed

  • 質問

  • 初めまして、宜しくお願い致します。

    パソコンのログインパスワードをセキュリティポリシーで90日で変更としています。

    ここ最近なのですが、ログインパスワードを変更すると証明書が必要な

    銀行や、社内専用ネットワークに入れない。

    「このページを表示できません。」とインターネットエクスプローラ9、10、11で

    発生しています。OSはWindows7 32Bit、64Bit にて発生

    ドメイン環境です。

    証明書の有効期限は1年以上あり、ログインパスワードを変更していない

    パソコンでは問題なく、表示可能です。

    解決策は証明書の再取得なのですが、パスワード変更ごとに

    証明書を取得するのは、ユーザーに負担がかかり、セキュリティポリシーを

    見直さなくてはならないかもしれません。

    どなたか、同じような件で情報をお持ちの方がいらっしゃいましたら

    ご教授頂けますでしょうか。

    宜しくお願い致します。

    2014年7月28日 2:53

回答

  • チャブーンです。

    応答が悪くてすみませんが、ご了承ください。

    現状ですが、以下の方法で切り分けを行うとよいと思います。

    • 以前のパスワードに戻して、証明書が見えるようになるか→そうなればたぶんDPAPIの影響です
    • 社内の展開イメージを使わず、完全新規の環境(OSのインストールから)でも問題が発生するか→発生しなければクライアント側の問題/するならサーバ側の問題の可能性があります。
    • 回答の候補に設定 佐伯玲 2014年8月20日 1:49
    • 回答としてマーク fumiyakoizumi 2014年9月1日 6:44
    2014年8月19日 3:19

すべての返信

  • チャブーンです。

    いくつか、確認事項があります。

    1. Windows 7は「ドメインに参加」していますか?それとも「ワークグループ(ドメイン非参加)」ですか?
    2. ログオンユーザーは「ドメインユーザー」ですか?それとも「ローカルユーザー」ですか?

    証明書の情報が記録された領域はDPAPIという仕組みで暗号化されています。DPAPI領域の情報を復号するために「アカウントのパスワード」が鍵になっているのですが、ワークグループ環境またはローカルユーザー利用時には、パスワードを変更する際正規の方法(Alt+Ctrl+Delを押してパスワードの変更をする)以外を使った場合、以前の情報をDPAPIが引き継げず、結論として証明書にアクセスができなくなります。

    これを避けるためには、うえにあるように正規の方法でパスワード変更を行います。管理者アカウントによるパスワードのリセットや、net userコマンドによるパスワードの変更は正規の方法ではない(どちらもパスワードの強制設定になります)ため、想定したとおりの動作になりません。

    • 回答の候補に設定 佐伯玲 2014年7月29日 2:13
    • 回答としてマーク 佐伯玲 2014年8月5日 6:10
    • 回答としてマークされていない fumiyakoizumi 2014年8月15日 5:15
    • 回答の候補の設定解除 佐伯玲 2014年8月15日 5:39
    2014年7月28日 4:55
  • こんにちは、fumiyakoizumi さん
    フォーラムオペレータの佐伯 玲 です。

    チャブーンさんからのアドバイスはご覧いただけておりますでしょうか?
    ご参考になるアドバイスがいただけているかと思いましたので私のほうで「回答としてマーク」とさせていただきました。

    もしあてはまらなかったりご不明な点があればご返信くださいね。

    宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2014年8月5日 6:10
  • チャブーンさん

    1.Windows7は全台ドメイン参加です。

    2.ドメインユーザーでローカルアドミニ権限を与えてあります。

    パスワード変更はGPOにて設定しており、時期がきて変更をしています。

    2014年8月15日 5:14
  • チャブーンです。

    応答が悪くてすみませんが、ご了承ください。

    現状ですが、以下の方法で切り分けを行うとよいと思います。

    • 以前のパスワードに戻して、証明書が見えるようになるか→そうなればたぶんDPAPIの影響です
    • 社内の展開イメージを使わず、完全新規の環境(OSのインストールから)でも問題が発生するか→発生しなければクライアント側の問題/するならサーバ側の問題の可能性があります。
    • 回答の候補に設定 佐伯玲 2014年8月20日 1:49
    • 回答としてマーク fumiyakoizumi 2014年9月1日 6:44
    2014年8月19日 3:19
  • チャブーンさん

    お忙しいところ、回答ありがとうございます。現在サーバー等について調査することを検討しています。

    ご協力ありがとうございました。

    2014年9月1日 6:45