Chrome/EdgeブラウザでOrchestratorへアクセスすると 「ERR_SSL_KEY_USAGE_INCOMPATIBLE」エラーが発生する

:grey_question: Question

Chrome/EdgeブラウザでOrchestratorへアクセスすると「ERR_SSL_KEY_USAGE_INCOMPATIBLE」エラーが発生します。対処方法を教えてください。

エラーメッセージ:

このサイトにアクセスできません

<OrchestratorのURL> のウェブページは一時的に停止しているか、新しいウェブアドレスに移動した可能性があります。

ERR_SSL_KEY_USAGE_INCOMPATIBLE

:bulb: Answer

原因

Chromeブラウザを119.0.6045.160に(またはEdgeブラウザを121.0.2277.83に)アップグレードした後、Orchestrator サーバー証明書の「キー使用法」プロパティに「デジタル署名」(DigitalSignature)が含まれない場合にこのエラーが発生します。

これらのブラウザは更新の後、X.509 キー使用拡張機能により、証明書内のキーがどのように使用されるかを宣言します。この機能を有効に機能させるためには、HTTPS クライアントはサーバー証明書が接続の TLS パラメーターと一致することを確認する必要があり、この確認で不合格になった場合に、ERR_SSL_KEY_USAGE_INCOMPATIBLE というエラーになります。

対応方法

この事象の恒久的な回避策は次の方法となります。

恒久的な対応方法

  1. 「キー使用法」プロパティに「デジタル署名」(DigitalSignature)を含む証明書を新規作成します。
    自己署名証明書を利用する場合には、以下の手順で作成することで「キー使用法」プロパティに「デジタル署名」(DigitalSignature)を含めることができます。
    ※New-SelfSignedCertificateコマンドをカスタマイズする際に-KeyUsageパラメーターを指定せず既定値のままにするか、値を指定する場合はDigitalSignatureが含まれる必要があることに注意してください。
    Orchestrator - 証明書を使用して HTTPS プロトコルを有効化する
  2. Orchestrator証明書を更新します。
    ※自己署名証明書を利用する場合、必ず作成した証明書をロボット端末などOrchestratorの各クライアント端末に配布し、certlm.msc コマンドを実行して、「ローカルコンピューター > 信頼されたルート証明機関の証明書ストア」に追加してください。
    Orchestrator サーバー証明書入れ替え手順

上記の恒久的な対応方法をすぐに適用することが難しい場合は、次に記載する暫定的な方法のいずれかを使用することができます。

暫定的な対応方法

方法A. Chrome/Edge起動時にパラメーターを指定する

パラメーター「 --force-fieldtrials=RSAKeyUsageForLocalAnchors/DisabledLaunch」を指定してChrome/Edgeを起動することで、一時的に「RSAKeyUsageForLocalAnchorsEnabled」を無効化します。
Orchestratorに限らず、その他のWebサイトでも証明書の「キー使用法」が確認されなくなるセキュリティリスクがあることにご留意ください。

  1. Webブラウザ端末にて、起動しているChrome/Edgeがあれば終了します。
  2. コマンドプロンプトを起動し、パラメーター「 --force-fieldtrials=RSAKeyUsageForLocalAnchors/DisabledLaunch」付きでChrome/Edgeを起動します。

Chromeのコマンド例:“C:\Program Files\Google\Chrome\Application\chrome.exe” --force-fieldtrials=RSAKeyUsageForLocalAnchors/DisabledLaunch
Edgeのコマンド例:“C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe” --force-fieldtrials=RSAKeyUsageForLocalAnchors/DisabledLaunch

上記手順で起動したChrome/Edgeを終了し、パラメーターなしで(Chromeアイコンのダブルクリック)などでChrome/Edgeを起動すると、「RSAKeyUsageForLocalAnchorsEnabled」は再び有効となります。

方法B. レジストリキーにDWORD値を追加する

Chrome/EdgeがWebサイト証明書の「キー使用法」を確認しないよう、「RSAKeyUsageForLocalAnchorsEnabled」を無効化します。
Orchestratorに限らず、その他のWebサイトでも証明書の「キー使用法」が確認されなくなるセキュリティリスクがあることにご留意ください。

RSAKeyUsageForLocalAnchorsEnabled:Chrome Enterprise のポリシーリストと管理 | ドキュメント

方法Bの1. 端末のレジストリエディターで編集を行う

各Webブラウザ端末のレジストリエディターを直接編集し、下記レジストリキーにDWORD値「RSAKeyUsageForLocalAnchorsEnabled」を追加し、そのデータを「0」に設定します。

Chromeの場合: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome

Edgeの場合: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge

※ドメイン参加している場合は、ドメインコントローラでのポリシー設定が優先されます。

Chromeの例:

Edgeの例:

方法Bの2. グループポリシーを利用する

下記手順はChromeのものです。Edgeについても同様の設定をおこなうことが可能です。その場合は「Chromeポリシーテンプレート」を「Microsoft Edge 管理用テンプレート」に置き換えて手順を実行してください。

Webブラウザ端末がドメイン参加している場合は、ドメインコントローラで以下作業を実施すると、指定したコンピューターまたはユーザーに一括で反映することができます。

  1. ドメインコントローラにChromeポリシーテンプレートを追加します。
  2. Group Policy Managementを起動し、新規GPO(Group Policy Object)を作成、または既存GPOを編集し、Group Policy Management Editorを開きます。
  3. GPO名 > コンピューターまたはユーザーの構成(お客様の運用方法に依ります) > Policies > 管理用テンプレート > Google > Google Chromeにて、「ローカル トラスト アンカーから発行されたサーバー証明書の RSA 鍵用途を確認する」を無効に設定します。
  4. Group Policy Managementに戻り、適用したいOU(Organization Unit)とGPOをリンクします。
  5. しばらく経過するとOUに所属するコンピューターまたはユーザーに、ポリシーが反映されます。各Webブラウザ端末にて「gpupdate /force」コマンドを実行することで、即座に反映することもできます。

ドメインコントローラではなく、各Webブラウザ端末で以下作業を実施することでも設定できます。ただしドメイン参加している場合は、ドメインコントローラでのポリシー設定が優先されます。

  1. 各Webブラウザ端末にChromeポリシーテンプレートを追加します。
  2. 「gpedit.msc」を実行し、ローカルグループポリシーエディターを起動します。
  3. ローカルコンピューターポリシー> コンピューターの構成 > 管理用テンプレート > Google > Google Chromeにて、「ローカル トラスト アンカーから発行されたサーバー証明書の RSA 鍵用途を確認する」を無効に設定します。

2 Likes