お世話になります。
WEB(IIS)サーバー、CA(AD CS)サーバーをそれぞれ2008R2(仮想マシン)で構築し、WEBサーバーへはクライアント証明書必須でアクセスを許可しています。
普段はアクセス出来ていますが、時々ステータス403が返却される問題が発生しています。
失敗した要求トレース(FailedReqLogFiles)によると原因は「失効サーバーがオフラインのため、失効の関数は失効を確認できませんでした。 (0x80092013)」。
403が返却される問題の事象は1時間程続いた後、アクセス出来るように復帰します。
現在、類似事象を検証するために、
・CRL公開期間「1 時間」
・(Delta CRL)公開期間「30 分」 に設定しています。
また、
・WEBサーバー、CAサーバーは、どちらもドメインでなくワークグループ
・WEBサーバー、クライアントにCA証明書をルート証明機関、中間証明機関に登録済み
・どちらもWindows UPDATEによるパッチ(重要な更新)適用済み。 です。
ログ等を解析したところ、
・WEBサーバーのイベントログ(ソース:CAPI2)に、
普段はほぼ1時間毎にCRLとdelta CRLを取得に行くイベントID:53「オブジェクトをネットワークから取得」がそれぞれ出力されていますが、
問題の事象が発生する直前のイベントID:53は、delta CRLしか存在せず、CRLに対するイベントが出力されていません。
・ちなみに「System32\config\systemprofile\AppData\LocalLow\Microsoft\X509Objects」内の該当時間の更新日時の「.crl」ファイルはdelta CRLしかありません。
・CAサーバーのIISアクセスログにも、その時間はdelta CRLのアクセスしか記録されていません。
・CAサーバーのIISアクセスログ(関連ログのみ抜粋、XXX-CAは偽名にしています):
2014-04-16 10:51:34 fe80::f99a:eb13:7c7b:1de4%10 GET /CertEnroll/XXX-CA(1).crl - 80 - fe80::7993:d27a:af9f:170%10 Microsoft-CryptoAPI/6.1 200 0 0 218
2014-04-16 10:51:39 fe80::f99a:eb13:7c7b:1de4%10 GET /CertEnroll/XXX-CA(1)+.crl - 80 - fe80::7993:d27a:af9f:170%10 Microsoft-CryptoAPI/6.1 200 0 0 202
2014-04-16 11:52:05 fe80::f99a:eb13:7c7b:1de4%10 GET /CertEnroll/XXX-CA(1)+.crl - 80 - fe80::7993:d27a:af9f:170%10 Microsoft-CryptoAPI/6.1 200 0 0 265
2014-04-16 12:52:22 fe80::f99a:eb13:7c7b:1de4%10 GET /CertEnroll/XXX-CA(1).crl - 80 - fe80::7993:d27a:af9f:170%10 Microsoft-CryptoAPI/6.1 200 0 0 218
2014-04-16 12:52:28 fe80::f99a:eb13:7c7b:1de4%10 GET /CertEnroll/XXX-CA(1)+.crl - 80 - fe80::7993:d27a:af9f:170%10 Microsoft-CryptoAPI/6.1 200 0 0 202
・403 Forbidden(失効サーバーがオフライン...)の原因は、このCRLを取得しに行かない事が原因と思われますが、取得しに行かない原因は何でしょうか?
・もしくは、自動での復帰に1時間掛かるのをOS再起動以外に復旧させる方法はないでしょうか?
※本来は客先環境(CRL(delta含む)公開期間は初期設定)で、1週間程度経過すると同事象が発生する問題があり、本件はその検証環境での事象です。
※イベントログは膨大なため、掲載を省略しますが、フィルタ条件を教えて頂ければ掲載します。
どうぞ、よろしくお願い申し上げます。
WEB(IIS)サーバー、CA(AD CS)サーバーをそれぞれ2008R2(仮想マシン)で構築し、WEBサーバーへはクライアント証明書必須でアクセスを許可しています。
普段はアクセス出来ていますが、時々ステータス403が返却される問題が発生しています。
失敗した要求トレース(FailedReqLogFiles)によると原因は「失効サーバーがオフラインのため、失効の関数は失効を確認できませんでした。 (0x80092013)」。
403が返却される問題の事象は1時間程続いた後、アクセス出来るように復帰します。
現在、類似事象を検証するために、
・CRL公開期間「1 時間」
・(Delta CRL)公開期間「30 分」 に設定しています。
また、
・WEBサーバー、CAサーバーは、どちらもドメインでなくワークグループ
・WEBサーバー、クライアントにCA証明書をルート証明機関、中間証明機関に登録済み
・どちらもWindows UPDATEによるパッチ(重要な更新)適用済み。 です。
ログ等を解析したところ、
・WEBサーバーのイベントログ(ソース:CAPI2)に、
普段はほぼ1時間毎にCRLとdelta CRLを取得に行くイベントID:53「オブジェクトをネットワークから取得」がそれぞれ出力されていますが、
問題の事象が発生する直前のイベントID:53は、delta CRLしか存在せず、CRLに対するイベントが出力されていません。
・ちなみに「System32\config\systemprofile\AppData\LocalLow\Microsoft\X509Objects」内の該当時間の更新日時の「.crl」ファイルはdelta CRLしかありません。
・CAサーバーのIISアクセスログにも、その時間はdelta CRLのアクセスしか記録されていません。
・CAサーバーのIISアクセスログ(関連ログのみ抜粋、XXX-CAは偽名にしています):
2014-04-16 10:51:34 fe80::f99a:eb13:7c7b:1de4%10 GET /CertEnroll/XXX-CA(1).crl - 80 - fe80::7993:d27a:af9f:170%10 Microsoft-CryptoAPI/6.1 200 0 0 218
2014-04-16 10:51:39 fe80::f99a:eb13:7c7b:1de4%10 GET /CertEnroll/XXX-CA(1)+.crl - 80 - fe80::7993:d27a:af9f:170%10 Microsoft-CryptoAPI/6.1 200 0 0 202
2014-04-16 11:52:05 fe80::f99a:eb13:7c7b:1de4%10 GET /CertEnroll/XXX-CA(1)+.crl - 80 - fe80::7993:d27a:af9f:170%10 Microsoft-CryptoAPI/6.1 200 0 0 265
2014-04-16 12:52:22 fe80::f99a:eb13:7c7b:1de4%10 GET /CertEnroll/XXX-CA(1).crl - 80 - fe80::7993:d27a:af9f:170%10 Microsoft-CryptoAPI/6.1 200 0 0 218
2014-04-16 12:52:28 fe80::f99a:eb13:7c7b:1de4%10 GET /CertEnroll/XXX-CA(1)+.crl - 80 - fe80::7993:d27a:af9f:170%10 Microsoft-CryptoAPI/6.1 200 0 0 202
・403 Forbidden(失効サーバーがオフライン...)の原因は、このCRLを取得しに行かない事が原因と思われますが、取得しに行かない原因は何でしょうか?
・もしくは、自動での復帰に1時間掛かるのをOS再起動以外に復旧させる方法はないでしょうか?
※本来は客先環境(CRL(delta含む)公開期間は初期設定)で、1週間程度経過すると同事象が発生する問題があり、本件はその検証環境での事象です。
※イベントログは膨大なため、掲載を省略しますが、フィルタ条件を教えて頂ければ掲載します。
どうぞ、よろしくお願い申し上げます。