2017年07月22日

SSL/TLSで最近ドタバタしたこと

SSL/TLS関連で、最近遭遇してドタバタしたこと。

------
その1
------


職場で利用しているサイボウズが稼働するドメインはさくらインターネット経由で
RapidSSLに証明書を発行してもらってるんだけど、先日、さくらインターネットから

『【重要】[さくらインターネット]SSLサーバ証明書再発行のお願い』

というというメールが届きました。

なんじゃい?と思って調べてみると、シマンテック(の子会社)が証明書を不正に
発行した問題でGoogleさんが激怒した件に絡んでるらしい。

どういう件なのかは、「シマンテック」「証明書」「グーグル」「不正」「激おこ」とかの
キーワードで検索すれば解説サイトが沢山見つかるので省略。
・・・何回かやらかしてるみたいですね。


証明書の有効期限が1年半延びたのはありがたいけれど、業務で忙しいタイミングで
証明書の再発行、再インストールの作業は面倒でした。

シマンテックには今年に入ってから別件で困った目(*)に合わさせられていて、
より一層印象が悪くなりましたw

*) SEP12.1とWindowsServer2008R2の問題でメモリリークが発生して数週間に1回
  BSODが発生する、という目。NonPagedPoolを使い果たしてくれてた。


------
その2
------

某社が提供するWebAPIを叩くアプリケーションを.NET2.0で作った(作ってもらった)んだけど、
数日前まで順調に動いてたのに先日突然動かなくなりました。
間もなく本番を迎える、という絶妙のタイミングで(滝汗。


アプリケーションではWebClient.UploadValues()を利用して、https://〜 というURLのWebAPIへ
POSTしてたんだけど、デバッグしてみたら

「基礎になる接続が閉じられました: 送信時に、予期しないエラーが発生しました。」

というエラーを吐いてコケてました。
ブラウザからWebAPIを叩くと結果が返ってくるんで相手サーバが見えないわけじゃないみたい。



結構いろいろと時間を掛けて調査した結果、

『WebAPI側がいつの間にかTLS1.0を受け付けなくなってた』

ということが判明。

いやいや、そんな連絡貰ってないし。
どこにもそんなこと書いてないし。


原因が判ったら対応は(比較的)容易で、TLS1.2で通信できるように
.NET2.0のアプリケーションを改修して解決しました。


.NET2.0は本来TLS1.1/1.2に対応してないですが、パッチ適用で対応できるようです。
(↑よく判っていない)

参考:.NET Framework で TLS1.1 および 1.2 を有効化する方法
https://blogs.technet.microsoft.com/jpieblog/2015/04/07/net-framework-tls1-1-1-2/


posted by しげ at 11:07| Comment(1) | TrackBack(0) | 日記 | このブログの読者になる | 更新情報をチェックする

2017年07月06日

Windows10HomeをProにしてからドメインに参加するときの注意事項

社内でノートPCを数台購入して、セットアップ中にハマったことをメモ。

--

購入したPCのOSがWindows10のHomeだったんで、別途用意していたWindows10 Proを
インストールしました。
その後、コンピュータをWorkgroupからドメインへ変更して、ドメインのアカウントで
ログインしようとしたところ、「ユーザー名かパスワードが正しくありません」
と表示されて弾かれてしまいました。なぜじゃ。


ドメインサーバ側のイベントログのセキュリティを確認すると、

・事前認証は失敗コード0x19で失敗
・その次の認証チケットの許可は成功

となっていて、ユーザーの認証自体は成功しているように見えます。

また、ログイン失敗のカウントもアップしていないので、クライアント側に表示される
メッセージのようにパスワードが間違ってる訳ではなさそうです。

いろいろ調べてみるとセキュアチャンネルの破損が原因の場合もあるようですが、
コンピューターアカウント自体は正常に登録されているようで、ドメインサーバ側の
netdomも、クライアント側のnltestでもセキュアチャンネルは正常に
確立できているみたいだし。

ドメインサーバ側も、クライアント側も、イベントログには怪しい事象は見当たらないし。

ファイアウォールを外したり、WindowsDefenderを停止したり、結構色々試したり
調べたりしたんですが、調べてるうちに

・Windows10 の Anniversary Update(バージョン1607/ビルド14393.105) である
・Home → Pro へアップグレードした

の両方の条件を満たす場合に、コンピュータの管理>ローカルユーザとグループ が
存在しなくてドメインにログインすると即座にログアウトされて、「ユーザー名か
パスワードが正しくありません」と表示されるらしい、という情報を入手しました。

で、Creators Update にアップデートしたところ、無事ドメインのアカウントで
ログインできるようになりました。
パチパチ。

そういや1年程前に購入した営業さんのノートPCもドメインに参加できないってことが
あったけど、同じ原因だったのかもしれないな・・・。
posted by しげ at 19:58| Comment(0) | TrackBack(0) | Windows | このブログの読者になる | 更新情報をチェックする
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。