Question
Chrome/EdgeブラウザでStandalone(オンプレミス版)のOrchestratorへアクセスすると「ERR_SSL_KEY_USAGE_INCOMPATIBLE」エラーが発生します。対処方法を教えてください。
エラーメッセージ:
このサイトにアクセスできません
<OrchestratorのURL> のウェブページは一時的に停止しているか、新しいウェブアドレスに移動した可能性があります。
ERR_SSL_KEY_USAGE_INCOMPATIBLE
Answer
原因
Chromeブラウザを119.0.6045.160に(またはEdgeブラウザを121.0.2277.83に)アップグレードした後、Orchestrator サーバー証明書の「キー使用法」プロパティに「デジタル署名」(DigitalSignature)が含まれない場合にこのエラーが発生します。
これらのブラウザは更新の後、X.509 キー使用拡張機能により、証明書内のキーがどのように使用されるかを宣言します。この機能を有効に機能させるためには、HTTPS クライアントはサーバー証明書が接続の TLS パラメーターと一致することを確認する必要があり、この確認で不合格になった場合に、ERR_SSL_KEY_USAGE_INCOMPATIBLE というエラーになります。
対応方法
この事象の恒久的な回避策は次の方法となります。
恒久的な対応方法
以下の手順にて、Orchestratorが利用する証明書を更新します。
- 「キー使用法」プロパティに「デジタル署名」(DigitalSignature)を含む証明書を新規作成します。
自己署名証明書を利用する場合には、以下の手順で作成することで「キー使用法」プロパティに「デジタル署名」(DigitalSignature)を含めることができます。
※New-SelfSignedCertificateコマンドをカスタマイズする際に-KeyUsageパラメーターを指定せず既定値のままにするか、値を指定する場合はDigitalSignatureが含まれる必要があることに注意してください。
Orchestrator - 証明書を使用して HTTPS プロトコルを有効化する - Orchestrator証明書を更新します。
※自己署名証明書を利用する場合、作成した証明書をロボット端末などOrchestratorの各クライアント端末に配布し、certlm.msc コマンドを実行して、「ローカルコンピューター > 信頼されたルート証明機関の証明書ストア」に追加する必要がある点に留意してください
Orchestrator サーバー証明書入れ替え手順
上記の恒久的な対応方法をすぐに適用することが難しい場合は、次に記載する暫定的な方法のいずれかを使用することができます。
暫定的な対応方法
方法A. Chrome/Edge以外のWebブラウザを利用する
Orchestrator自体は正常に動作していますので、FirefoxなどChrome/Edge以外のWebブラウザを利用すれば表示できます。
OrchestratorがサポートするWebブラウザについては、ソフトウェア要件をご確認ください。
方法B. (Chrome バージョン123 以前の場合)レジストリキーにDWORD値を追加する
Chrome/EdgeがWebサイト証明書の「キー使用法」を確認しないよう、「RSAKeyUsageForLocalAnchorsEnabled」を無効化します。
Orchestratorに限らず、その他のWebサイトでも証明書の「キー使用法」が確認されなくなるセキュリティリスクがあることにご留意ください。
※Google Chrome バージョン124 以降ではこの方法はサポートされません。
RSAKeyUsageForLocalAnchorsEnabled:Chrome Enterprise のポリシーリストと管理 | ドキュメント
方法Bの1. 端末のレジストリエディターで編集を行う
各Webブラウザ端末のレジストリエディターを直接編集し、下記レジストリキーにDWORD値「RSAKeyUsageForLocalAnchorsEnabled」を追加し、そのデータを「0」に設定します。
Chromeの場合: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome
Edgeの場合: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge
※ドメイン参加している場合は、ドメインコントローラでのポリシー設定が優先されます。
Chromeの例:
Edgeの例:
方法Bの2. グループポリシーを利用する
Google Chromeポリシーを利用し、より安全にレジストリ設定することができます。
Webブラウザ端末がドメイン参加している場合は、ドメインコントローラで以下作業を実施すると、指定したコンピューターまたはユーザーに一括で反映することができます。
- ドメインコントローラにChromeポリシーテンプレートを追加します。
- Group Policy Managementを起動し、新規GPO(Group Policy Object)を作成、または既存GPOを編集し、Group Policy Management Editorを開きます。
- GPO名 > コンピューターまたはユーザーの構成(お客様の運用方法に依ります) > Policies > 管理用テンプレート > Google > Google Chromeにて、「ローカル トラスト アンカーから発行されたサーバー証明書の RSA 鍵用途を確認する」を無効に設定します。
- Group Policy Managementに戻り、適用したいOU(Organization Unit)とGPOをリンクします。
- しばらく経過するとOUに所属するコンピューターまたはユーザーに、ポリシーが反映されます。各Webブラウザ端末にて「gpupdate /force」コマンドを実行することで、即座に反映することもできます。
ドメインコントローラではなく、各Webブラウザ端末で以下作業を実施することでも設定できます。ただしドメイン参加している場合は、ドメインコントローラでのポリシー設定が優先されます。
- 各Webブラウザ端末にChromeポリシーテンプレートを追加します。
- 「gpedit.msc」を実行し、ローカルグループポリシーエディターを起動します。
- ローカルコンピューターポリシー> コンピューターの構成 > 管理用テンプレート > Google > Google Chromeにて、「ローカル トラスト アンカーから発行されたサーバー証明書の RSA 鍵用途を確認する」を無効に設定します。