NIIの西村です。
MLの送信サイズ制限(100KB)を超えていたので、添付ファイルを替えて
再送します。
-------- Original Message --------
NIIの西村です。
ご指摘・ご報告ありがとうございます。
申し訳ございません。この件はこちらでも認識はしていたのですが、
通常の環境(デフォルトの設定)では問題は起きないと考えており
影響はごく少数と見積もり、対応できる人員も限られているため
事務局での問い合わせ対応以上のことはできておりませんでした。
つまり、
- 通常の環境ではWindows Updateを行わなくとも問題なくアクセスできる
と考えています。
この問題が発生する原因は3点あります。
1. 「ルート証明書の更新」コンポーネントがインストールされていない
(このコンポーネントはWindows Updateで提供されているものとは
異なります)
2. グループポリシーにてルート証明書の更新を無効にしている
3. 直接アクセスを許さず、プロキシ経由でのアクセスのみ許可して
いるような環境で、WinHTTPのプロキシ設定を行っていない
これらのうち1,2についてはXPを通常の方法でインストールした場合
には問題にならないと考えております。
3についてはネットワークの問題ですので、XPに限らずVistaやWindows 7
でも(そのネットワーク上のWindows全てについて)問題が発生する
と考えられます。
条件1の確認方法:
[コントロールパネル]から「プログラムの追加と削除」を選択し、左の
「Windowsコンポーネントの追加と削除」をクリックしてください。下
のほうにスクロールさせると「ルート証明書の更新」コンポーネントが
見えてくるはずです。これにチェックが入っているのが初期状態と
考えております。
(スクリーンショット rootupdatecomponent.gif)
条件2の確認方法:
「ファイル名を指定して実行」からgpedit.mscを起動し、
「ローカルコンピュータポリシー」-「管理用テンプレート」-
「システム」-「インターネット通信の管理」-
「インターネット通信の設定」
を選択し、右側の「ルート証明書の自動更新をオフにする」の状態を
ご確認ください。(スクリーンショット gppolicy-rootupdate.gif)
スクリーンショットの通り「未構成」となっているのが初期状態と
考えております。
条件3のようなネットワーク上では、「ルート証明書の更新」コンポ
ーネントはWinHTTPのプロキシ設定を使用して通信を行なうため、通
常のIEのプロキシ設定だけではこの問題は解決されません。
http://www.st.ryukoku.ac.jp/security/windows/wu/
上記のページにありますようにIEの設定をインポートする以下のコマ
ンドを実行すると、WinHTTPにも正しくプロキシの設定が行われます。
netsh winhttp import proxy source=ie
ノートパソコンのような場合でネットワークを移動してプロキシ設定を
変更する必要がある場合は、その都度上記コマンドを実行する必要が
あります。
> それとも Windows Update の画面で説明するべきなのでしょうか。
Windows Updateでの対処方法については
http://www.secomtrust.net/service/ninsyo/sr20evroot/rootwinupdate/
の説明もお役に立てるかと思います。
言い訳になってしまいますが、このような問題はこのプロジェクトの
証明書に限らず、比較的新しめの認証局(GPKIも)が発行した証明書
の検証で問題が起きるものと思われます。
(2010/02/12 17:30), Mitsuru Ogino wrote:
> 椙山女学園の荻野です。
>
> 全学生を対象としたサイトの証明書について VeriSign からの移行を近日中に予
> 定しておりますが、だんだん不安になってきました。
>
> https://upki-portal.nii.ac.jp/docs/odcert/howto/intro によれば、Web ブラ
> ウザとして Internet Explorer 6 がバンドルされた Windows XP ではすべて動
> 作確認済みだと読めますが、どうもうまくいかないものがあるようです。実機を
> 確認できておりませんが、対応してもらった業者さんからのメールです。
>
>> 3.共同研究室PCの証明書エラー対応
>>
>> クライアント側のルート証明書が更新されていなかった
>> ため、NIIの証明書が正しく認識できませんでした。
>>
>> Windows Update → 追加選択(ソフトウェア) で
>> 「ルート証明書の更新プログラム (KB931125)」
>> を適用し、正しく動作することを確認しました。
>
> Windows Update で「重要な更新」を行っていてもダメなのでしょうか。ルート
> 証明書の更新プログラムというのはオプションのところにあるようです。
>
> 検索するといくつか引っかかりました。
>
> http://www.cis.kit.ac.jp/index.cgi?page=NII-RootCA
> http://www.media.hiroshima-u.ac.jp/modules/news/article.php?storyid=530
>
> 各大学でマニュアルを作るのは何とかならならないものかと思うのですが、セコ
> ムトラストのマニュアルは「確認方法」から始まっていて敷居が高いように感じ
> ました。
>
> https://repository.secomtrust.net/rootupdate/index.html
> ご利用ブラウザ(Internet Explorer)でセコムのルートCA証明書が認識されな
> いお客様へ
>
> マイクロソフトの KB931125 というのがキーワードのようですが、これは昔から
> 使われているようで、
>
> ルート証明書の更新プログラム [2009 年 5 月] (KB931125)
> ルート証明書の更新プログラム [2009 年 9 月] (KB931125)
> ルート証明書の更新プログラム [2009 年 11 月] (KB931125)
>
> いまは 2009年11月が最新のようです。
> http://www.microsoft.com/downloads/info.aspx?na=47&p=1&SrcDisplayLang=ja&SrcCategoryId=&SrcFamilyId=f814ec0e-ee7e-435e-99f8-20b44d4531b0&u=details.aspx%3ffamilyid%3d19C4AE49-1127-4537-9E91-35F81D20BCE6%26displaylang%3dja
> これを選ぶと「正規 Windows 確認コンポーネントのインストール」というのが
> 始まってしまい、これまた大変そうです。再配布している大学もあるようです
> が、最新のものでないところもありました。NII の証明書さえ認証されればそれ
> でも良いのかもしれませんが。
>
> 結局セコムトラストのページで紹介されている WindowsUpdate.com のインス
> トーラの URL を紹介するのが一番簡単なのでしょうか。
> http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe
>
> それとも Windows Update の画面で説明するべきなのでしょうか。
>
>
>
> Mac OS の場合は、
>
> Mitsuru Ogino said the following on 2009/12/08 11:01:
>> 単にルート証明書をインストールすれば良いという問題であれば、
>>
>> http://www.secomtrust.net/service/ninsyo/cer/scrootca1.txt
>>
>> のインストール手順書を作成すれば良いのでしょうか。手元に 10.3 のマシンが
>> ないので悩ましいのですが。
>
> で乗り切るか、これを .pem にしたものを配布するかを考えています。ルート証
> 明書をむやみにインストールさせるのも良くないとは思いますが…
--
西村健
国立情報学研究所 TEL:03-4212-2720Attachment:
rootupdatecomponent.gif
Description: GIF image
Attachment:
gppolicy-rootupdate.gif
Description: GIF image
