Active Direcory 証明書サービスを利用した場合の TLS1.0 接続について

質問

_{2010年7月15日木曜日 6:53}

IE の詳細設定から SSL3.0 を外して TLS のみにして
IIS でホストしているサイトに HTTPS 接続した場合に
以下のようなエラーが表示される方いらっしゃいますか？

　　　ログの名前:  System
　　　ソース:      Schannel
　　　イベント ID: 36888
　　　レベル:      エラー
　　　ユーザー:    SYSTEM
　　　説明:
　　　次の致命的な警告が生成されました: 20。内部エラーの状態は 960 です。

　　　ログの名前:  System
　　　ソース:      Schannel
　　　イベント ID: 36888
　　　レベル:      エラー
　　　ユーザー:    SYSTEM
　　　説明:
　　　次の致命的な警告が生成されました: 40。内部エラーの状態は 1205 です。

　　　ログの名前:  System
　　　ソース:      Schannel
　　　イベント ID: 36874
　　　レベル:      エラー
　　　ユーザー:    SYSTEM
　　　説明:
　　　リモート クライアント アプリケーションから TLS 1.0 接続要求を受信しましたが、クライアントで
　　　サポートされている暗号がサーバーでサポートされていません。SSL 接続要求は失敗しました。

管理ポリシーから
「システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う」
を「無効」に設定する事で、エラーが上がるのは回避出来ましたが
エラーが出ること自体、何か設定をミスってるんでしょうか？

参考
[PRB] FIPS 準拠暗号化を有効にした後 SSL サイトにアクセスできない
http://support.microsoft.com/kb/811834/ja

勘違いしていた部分がありました。
HTTPS を設定していないサイトに接続した場合に
「次の致命的な警告が生成されました: 20。内部エラーの状態は 960 です。」
KB811834 では、エラーは消えませんので、アクセスする度にログに上がります。
下の2つのエラーはよくわかりません。。。

すべての返信 (2)

_{2010年7月21日水曜日 5:54 ✅回答済み | 1 票}

小山さん、こんにちは。

・IISは 7.5 で、エラーイベントは、サーバー側に表示されます。（Windows Server 2008 R2 ; フルパッチ）
・Schannel.DLL のバージョンは 6.1.7600.16385

IISの構成は
Web Platform Installer
・ASP.NET
・.NET拡張機能
・ISAPI拡張
・ISAPIフィルター
・静的なコンテンツ
・既定のドキュメント
・ディレクトリの参照
・HTTPエラー
・HTTPリダイレクト
・URL Rewrite2.0
・IIS6 メタベース互換性
・IIS6 WMI互換性
・IIS6 スクリプトツール
・IIS6 管理コンソール
・FTP Publishing Service 7.5
・WebDAV7.5
・FTP拡張機能
・HTTPログ
・ログツール
・要求監視
・追跡
・カスタムログ
・ODBCログ
・IIS 管理コンソール
・IIS 管理スクリプトおよびツール
・管理サービス
・静的なコンテンツの圧縮
・基本認;
・Windows認;
・ダイジェスト認;
・クライアント;明書マッピング認;
・URL認;
・要求のフィルタリング
・IPおよびドメインの制限
・.NET Framework3.5 SP1
・Windows PowerShell2.0

・サーバはドメインに参加し、;明機関のインストール。
・IISで;働するサイトは HTTP1.1 のみ受け付け。
・LAN Manager 認;レベルは 5

SSLを設定していないサイトへ HTTPS でアクセスすると、、、
XP SP3 ; Firefox 3.6.7 でアクセスした場合
　ログの名前: System
　ソース:       Schannel
　イベント ID: 36887
　レベル:       エラー
　ユーザー:   SYSTEM
　説明:
　次の致命的な警告が生成されました: 46。

XP SP3 ; IE8 でアクセスした場合 ※Windows7＋IE8 でも同じでした。
　ログの名前: System
　ソース:       Schannel
　イベント ID: 36888
　レベル:       エラー
　ユーザー:   SYSTEM
　説明:
　次の致命的な警告が生成されました: 20。内部エラーの状態は 960 です。
と、サーバーのログに書き込まれまるようです。

同様の現象が出ている方は、いらっしゃらないようなので
再構築して順番に確認していく必要がありそうですね…

 

原因が判明しました。
サイトバインドに https で IPアドレスに * を指定していると
複数のIPアドレスを振っている場合に、そんなエラーを吐くようです。

 

---

_{2010年7月20日火曜日 21:32}

こんにちは。はじめまして。

申し訳ありません不明点を確認させていただきたいのですが、このエラーイベントは、どこに表示されているのでしょうか？（サーバー側でしょうか？クライアント側でしょうか？）それと、IE、IIS のバージョンと、上記イベントが表示されていたマシンでの Schannel のバージョンなどはどうなっていますでしょうか。

＃Schannel の不具合が原因になる場合もあるようなので、念のための確認でした。

小山
http://keicode.com/