時々、IISでクライアント証明書の失効が確認出来ない事がある

すべての返信

• 

  

  0

  サインインして投票

  チャブーンです。

  CAについてはあまり詳しくはないので、その点は含みおきください。

  状況からですが、以下の観点で調査を行ってみるのはどうでしょうか？

  1. WebサーバがCDPに「100%アクセス」できることを確認する
     該当のクライアント証明書～ルート証明書までのCDPについて、名前解決の問題でアクセスできなくなっていないか、念のため確認されるといいのではないでしょうか？すべてのCDPが100%名前解決できるよう、hostsファイルにCDPのサーバ名(FQDNだと思いますが)を記載することになります。IIS6でこの情報に触れている資料があります。
     http://support.microsoft.com/kb/294305/ja
  2. CRLのキャッシュが影響を与えているかどうかを確認する
     certutilでCRLキャッシュの場所は確認できるので、CRLキャッシュを削除してみて、状況が変わらないかどうか、これも念のため確認したほうがいいと思います。キャッシュ削除についてはしたの資料が役立つかもしれませんが、certutilコマンドラインヘルプで確認いただいたほうがいいように思います。
     http://blogs.technet.com/b/pki/archive/2007/09/13/how-to-refresh-the-crl-cache-on-windows-vista.aspx

  名前解決の点ですが、ドメイン環境で(サーバ上の)参照先優先DNSサーバアドレスと代替アドレスに異なるレベルのDNSサーバ(代替にはDCと無関係のDNSサーバを指定している等)を指定している場合、突然DC側の名前解決ができなくなることがあります。

  
  

  • 編集済み チャブーンMVP 2014年4月18日 9:56
  • 回答の候補に設定 佐伯玲 2014年4月21日 0:56
  • 回答の候補の設定解除 チャブーンMVP 2014年4月21日 8:48

  2014年4月18日 9:51
• 

  

  0

  サインインして投票

  チャブーンさん。返信ありがとうございます。
  今回の検証環境ではjmeterによる自動Webアクセスでログ採取しているので、問題発生時には上記１、２共に試していません。
  
  なお、お客様の本番環境(Windowsパッチは未適用)で類似問題発生時には上記１、２共に試しています。
  １．Webサーバー上のIEから当該クライアント証明書に記載されているURLからCRT、CRLL共にダウンロード可能でした。
  ・CRL配布ポイント：
  [1]CRL Distribution Point
       Distribution Point Name:
            Full Name:
                 URL=http://win-msprl0t325o/CertEnroll/XXX-CA.crl
  ・機関情報アクセス
  [1]Authority Info Access
       Access Method=オンライン証明書状態プロトコル (1.3.6.1.5.5.7.48.1)
       Alternative Name:
            URL=http://win-msprl0t325o/CertEnroll/WIN-MSPRL0T325O_XXX-CA.crt
  また、http://win-msprl0t325o/CertEnroll/XXX-CA+.crl　として、delta CRLもダウンロードできます。
  ※XXX-CAは名前を伏せています。
  
  ２．Webサーバーのコマンドラインから、当該クライアント証明書に対してcertutil -verify -urlfetchはCRLを確認出来る正常を出力しました。
  　また、certutil(-urlcache)によるキャッシュクリアではありませんが、AdministratorとシステムのCRLキャッシュは削除しましたが、
  　その後も403エラーは継続して発生し続けました。
  　・C:\Users\Administrator\AppData\LocalLow\Microsoft\CryptnetUrlCache
  　・及びC:\Windows\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache
  　　の Content、MetaData 内のファイルを削除
  
  同事象はWebサーバーのOS再起動で一旦解決(403エラーが発生しなくなる)する事を確認していますが、
  OS再起動以外で、解決（復帰）させる方法はありませんでしょうか？
  ちなみにIISマネージャからのIIS再起動では解決しませんでした。

  • 編集済み 冨田貴士 2014年4月21日 6:38

  2014年4月21日 5:53
• 

  

  0

  サインインして投票

  チャブーンです。

  状況からですが、公開期限切れ直前にアクセスが行われた際、「CRLの有効期限はまだ切れていない(公開期限より長めに設定されているため)」ので、キャッシュの更新を行わず、そのためCRLが期限切れ扱いになってしまっているのかもしれません。それが正しい動作なのかはわかりませんが。

  Webサーバ上のCRLキャッシュについて「きちんとコマンドで」削除を行っていただくのはどうでしょうか？(手動で強引に行うのではなく)。以下のコマンドでできるはずですが。

  certutil -urlcache CRL delete

  うえのコマンドを30分毎にタスク等で動作させて、問題が解消するようならやはりキャッシュがらみの問題なのでしょう。

  あとこの問題について、ざっと検索等で探してみましたが、既存の不具合と思われる情報はありませんでした。環境に依存している問題の可能性もありますので(こういうケースでは無償掲示板のサポートはほとんど役に立ちません)、こういった無償掲示板でムリに解決するのではなく、MS有償サポートのご利用を考えていただくほうが、結果的には間違いがありません。ご検討ください。

  • 回答の候補に設定 佐伯玲 2014年4月22日 2:03
  • 回答としてマーク 冨田貴士 2014年4月22日 3:12

  2014年4月21日 8:45
• 

  

  0

  サインインして投票

  チャブーンさんのアドバイスによる回避は確認出来ていませんが
  本ＱＡに対する回答としてマークさせて頂きました。
  ありがとうございました。

  2014年4月22日 3:24
• 

  

  0

  サインインして投票

  KB2666300 の修正プログラムを適用する事で解決しました。
  
  Security問題ではないのでWindows Updateには含まれていないらしく、別途ダウンロードする必要があります。
  
  原因は、CRL確認の為のOCSPサーバーを立てていませんが、CAのプロパティでOCSP(Online Certificate Status Protocol)を有効にしていたため、WebサーバーがCAにOCSPのURLでアクセスした際エラーになってしまい、それ以降はCRLのURLへのアクセスもしなくなってしまうという不具合によるものでした。
  
  有償サポート窓口から連絡して、上記KBを教えてもらいました。
  ご協力頂いた方々に感謝いたします。

  • 回答としてマーク 冨田貴士 2014年5月12日 11:33

  2014年5月12日 11:31
• 

  

  0

  サインインして投票

  チャブーンです。

  フィードバックありがとうございます。

  デフォルトでインストールしていないなら、OCSP設定は既定では有効になりませんので、環境依存で発生するケースだというところで理解しました。

  こちらも勉強になりました。

  2014年5月13日 2:47