Windows®用更新プログラム「鍵長1024 ビット未満の暗号鍵を持つ証明書を無効にする更新プログラム(KB2661254)」の影響について
更新日 2017年1月31日
はじめに
Windows®用更新プログラム「鍵長1024 ビット未満の暗号鍵を持つ証明書を無効にする更新プログラム(KB2661254)」につきまして、下記の通り、当社複合機やプリンターをご利用中のお客様への影響が確認できております。下記に現象の詳細と対処方法を記載しますので、現象が発生した場合には対処方法に沿って対応いただきますようお願いいたします。
1. 現象
弊社の複合機やプリンター商品で、鍵長512ビットのデバイス証明書を利用してセキュリティー運用をしている環境にWindows®用更新プログラム(KB2661254)を適用した場合に、下記のような現象が発生します。
なお、すでに鍵長1024ビット以上の証明書を利用している場合や、証明書によるセキュリティー運用をしていない場合には影響はありません。
現象
SSLによる暗号化通信を設定している場合、更新プログラムが適用されたWindows®と通信ができなくなります。具体的には、下記のような現象が発生します。
- Internet Explorer®を使って、CentreWare Internet Services(CWIS)へのアクセスができなくなる。
CWISへのアクセス時のエラー画面
- ネットワークスキャナーユーティリティ3でスキャンデータの取得ができなくなる。
ネットワークスキャナーユーティリティ3を使用してスキャナーを指定する時のエラー画面
2. 対処方法
Windows®用更新プログラム(KB2661254)を適用する場合は、鍵長1024ビット以上の証明書を利用するよう、設定をし直す必要があります。
Windows®用更新プログラム(KB2661254)適用前の場合
下記<対処方法>にある手順b.、d.を実施してください。
Windows®用更新プログラム(KB2661254)適用後の場合
下記<対処方法>にある手順a.~d.を実施してください。
対象機種
本更新プログラムの影響を受ける対象の複合機、プリンター商品は下記の通りです。商品により対処方法が若干異なるため、分類A~Eに分けて記載しています。
分類A
- ApeosPort-III 3010
- ApeosPort-III 4000
- ApeosPort-III 5000
- ApeosPort-III 6000
- ApeosPort-III 7000
- ApeosPort-III C2200
- ApeosPort-III C2205
- ApeosPort-III C3300
- ApeosPort-III C3305
- ApeosPort-III C4400
- ApeosPort-III C4405
- ApeosPort-III C5500
- ApeosPort-III C6500
- ApeosPort-III C7600
- ApeosPort-IV C2270
- ApeosPort-IV C3370
- ApeosPort-IV C4470
- ApeosPort-IV C5570
- ApeosPort-IV C5580
- ApeosPort-IV C6680
- ApeosPort-IV C7780
- DocuCentre-III 2000
- DocuCentre-III 3000
- DocuCentre-III 3010
- DocuCentre-III 4000
- DocuCentre-III 5000
- DocuCentre-III 6000
- DocuCentre-III 7000
- DocuCentre-III C2200
- DocuCentre-III C2205
- DocuCentre-III C3300
- DocuCentre-III C3305
- DocuCentre-III C4400
- DocuCentre-III C4405
- DocuCentre-III C5500
- DocuCentre-III C6500
- DocuCentre-III C7600
- DocuCentre-IV 2060
- DocuCentre-IV 3060
- DocuCentre-IV C2260
- DocuCentre-IV C2270
- DocuCentre-IV C3370
- DocuCentre-IV C4470
- DocuCentre-IV C5570
- DocuCentre-IV C5580
- DocuCentre-IV C6680
- DocuCentre-IV C7780
- DocuColor 1450 GA
- DocuColor 5151 P
- DocuPrint 3000
- DocuPrint 3000 s
- DocuPrint 3100
- DocuPrint 4050
- DocuPrint 4060
- DocuPrint 5060
- DocuPrint C2250
- DocuPrint C3350
- DocuPrint C3350 s
- DocuPrint C3360
- DocuPrint C4000 d
- DocuPrint C5000 d
- 4112
- 4112 Light Publisher
- 4127 Light Publisher
- 4127 Enterprise Printing System
- 700 Digital Color Press
分類B: 2006年導入商品
- ApeosPort-II 3000
- ApeosPort-II 4000
- ApeosPort-II 5000
- ApeosPort-II 6000
- ApeosPort-II 7000
- ApeosPort-II C2200
- ApeosPort-II C3300
- ApeosPort-II C4300
- ApeosPort-II C5400
- ApeosPort-II C6500
- ApeosPort-II C7500
- DocuCentre C1101
- DocuCentre C2101
- DocuCentre-II 3000
- DocuCentre-II 4000
- DocuCentre-II 5000
- DocuCentre-II 6000
- DocuCentre-II 7000
- DocuCentre-II C2200
- DocuCentre-II C3300
- DocuCentre-II C4300
- DocuCentre-II C5400
- DocuCentre-II C6500
- DocuCentre-II C7500
分類C: 2004年-2005年商品
- ApeosPort 350 I
- ApeosPort 450 I
- ApeosPort 550 I
- ApeosPort 650 I
- ApeosPort 750 I
- ApeosPort C2521 I
- ApeosPort C3626 I
- ApeosPort C4535 I
- ApeosPort C5540 I
- ApeosPort C6550 I
- ApeosPort C7550 I
- DocuCentre a900
- DocuCentre f900
- DocuCentre a1100
- DocuCentre f1100
- DocuCentre f1100 GA
- DocuCentre 9000
- DocuCentre 350 I
- DocuCentre 450 I
- DocuCentre 550 I
- DocuCentre 650 I
- DocuCentre 750 I
- DocuCentre C2521 I
- DocuCentre C3626 I
- DocuCentre C4535 I
- DocuCentre C5540 I
- DocuCentre C6550 I
- DocuCentre C7550 I
- DocuCentre Color a250
- DocuCentre Color a360
- DocuCentre Color a450
- DocuCentre Color f250
- DocuCentre Color f360
- DocuCentre Color f450
- DocuCentre a235
- DocuCentre a285
- DocuCentre f235
- DocuCentre f285
- DocuColor 4055 P
- DocuColor 5065 P
- DocuColor 5075 P
- DocuPrint 405
- DocuPrint 505
- DocuPrint C2424
- DocuPrint C3140
- DocuPrint C3140 TD
- DocuPrint C3200 A
- DocuPrint C3250
- DocuPrint C3540
- DocuPrint C3540 TD
- DocuPrint C5450
- 4110 Enterprise Printing System
- 4590 Enterprise Printing System
分類D: 分類A~Cに該当しないプリンター商品
- DocuPrint 2060
- DocuPrint 3050
- DocuPrint C1100
- DocuPrint C2110
- DocuPrint C3050
- 注記 マルチプロトコルLANカード装着時のみ対象。(装着していない場合はSSL機能がないので対象外)
分類E: 広幅複合機商品
- DocuWide 2055
- DocuWide 3035
- DocuWide 6055
- DocuWide 9095α
- 注記 証明書による暗号化機能を持っていない、または、証明書の鍵長デフォルト設定値が1024ビット以上の複合機・プリンター商品は本表の対象外としております。
対処方法
デバイスの証明書を鍵長1024ビット以上とするため、1台注1のPCからデバイスの証明書の設定を変更します。設定用のPCとして、下記1.~3.のいずれかを満たしているPCで実施する必要があります。
- Firefoxなど更新プログラムの影響を受けないインターネットブラウザーがインストールされたPC注2
- Macなどの更新プログラムの影響を受けないPC
- Windows® XP以降のPC
- 注1 設定用のPCは1台で充分です。全てのPCが1.~3.のいずれかに該当する必要はありません。
- 注2 Internet Explorer®、Safariは更新プログラムの影響を受けるため使用できません。
更新プログラム適用前であれば、手順b.と手順d.のみ。
更新プログラム適用後の場合で、設定用のPCが1.または2.の場合は手順b.と手順d.のみ、3.の場合は手順a.~d.の作業を実施します。
詳細のステップは次ページ以降をご確認ください。
- a. Windows® XP以降で鍵長512ビットの証明書を一時的に使えるように設定する
- b. インターネットブラウザーでCentreWare Internet Servicesにアクセスし、鍵長1024ビットのデバイス自己証明書を作成し、HTTP – SSL/TLS通信を有効にする
(手順b.は商品により、操作が若干異なります。詳細は後述します) - c. Windows® XP以降で設定した場合、手順a.で変更した証明書の設定を元に戻す
- d. Internet Explorer®を使ってCentreWare Internet Servicesに正常にアクセスできることを確認する
a.Windows® XP以降で鍵長512ビットの証明書を一時的に使えるように設定する
- 注記 本項目はFirefoxなどの更新プログラムの影響を受けないインターネットブラウザーがインストールされたPCや、Macなどの更新プログラムの影響を受けない端末を用意できる場合は必要ありません。
支援ツール(ssl512.bat)を使い、鍵長を512ビットにします。
ssl512.batは、支援ツール(ssl512.bat)より取得してください。
ssl512.bat操作
スタートメニューからCommand PromptをコンテキストメニューのRun as…を使って管理者権限をもつユーザーで起動し、そのCommand Promptからバッチファイルを実行します。
以下はWindows® XPでの実行メッセージです。Windows® XP / Windows Server® 2003ではregコマンドによってレジストリ書き込みを行っています。設定後、下記を表示してPAUSEします。ここで何らかのキー入力をすることで、実行が終了し、Windows®が閉じます。
本設定後、Internet Explorer®を再起動することで、設定が有効になります。
管理者権限で実行しなかった場合など、設定が出来なかった場合は以下の結果となります。
Windows Vista® / Windows Server® 2008以降は下図のように、アイコンを右クリックし表示されるコンテキストメニューから“Run as administrator”を選択することで、管理者権限で実行することができます。
この後、UACのダイアログが表示されるので、“Continue”を選択します。
設定後、下記のようにメッセージを表示してPAUSEします。Windows Vista® / Windows Server® 2008以降ではcertutilを使っているため、Windows® XP / Windows Server® 2003とは表示されるメッセージは異なっています。
コマンドが正常に完了した事を確認し、Internet Explorer®を再起動します。これで複合機/プリンターの証明書が鍵長512ビットである場合でもInternet Explorer®を使ってSSL/TLS接続が可能になります。
b.インターネットブラウザーでCentreWare Internet Servicesにアクセスし、鍵長1024ビットのデバイス自己証明書を作成し、HTTP – SSL/TLS通信を有効にする
本手順は、商品により、操作が若干異なります。
分類Aの商品の場合
PCのブラウザーでCentreWare Internet Serviceにアクセスします。
URLはhttps://<複合機かプリンターのIPアドレス> になります。
- プロパティ>セキュリティー>証明書管理の順でクリックすると、下図の画面が表示されるので[一覧の表示]をクリックします。
- 削除する証明書をチェックし、[証明書の表示]をクリックします。「* 有効」と表示された証明書が現在使用されている証明書です。
- 証明書の公開キーのサイズが512ビットであることを確認し、[削除]をクリックします。
- [一覧の表示]で表示された他の証明書についても、これまでの手順を繰り返して削除します。すべての証明書を削除後、複合機/プリンターを再起動してください。
PCのブラウザーでCentreWare Internet Serviceにアクセスします。
URLはhttp://<複合機かプリンターのIPアドレス> になります。 - プロパティ>セキュリティー>証明書の設定の順でクリックし、[自己証明書の作成]ボタンをクリックします。
- [公開キーのサイズ] を [512ビット] から [1024ビット] に変更し、 [新しい設定を適用] をクリックしてください。
- プロパティ>セキュリティー>SSL/TLS設定の順でクリックし、HTTP-SSL/TLS通信を有効に設定し [新しい設定を適用] をクリックします。その後、複合機/プリンターを再起動してください。
分類Bの商品の場合
PCのブラウザーでCentreWare Internet Serviceにアクセスします。
URLはhttps://<複合機かプリンターのIPアドレス> になります。
- プロパティ>PKI(公開鍵基盤)設定>証明書管理の設定の順でクリック下図の画面が表示されるので[一覧の表示]をクリックします。(機種や機器構成によっては1.~2.の画面を経由せずに下記3.の画面から表示されることがあります)
- 削除する証明書をチェックし、[証明書の表示]をクリックします。「* 有効」と表示された証明書が現在使用されている証明書です。
- 証明書の公開キーのサイズが512ビットであることを確認し、[削除]をクリックします。
- [一覧の表示]で表示された他の証明書についても、これまでの手順を繰り返して削除します。すべての証明書を削除後、複合機/プリンターを再起動してください。
PCのブラウザーでCentreWare Internet Serviceにアクセスします。
URLはhttp://<複合機かプリンターのIPアドレス> になります。 - プロパティ>PKI(公開鍵基盤)設定>SSL/TLS設定の順でクリックし、下図の画面が表示されるので、[自己証明書の生成]ボタンをクリックします。
- [公開キーのサイズ]を [512ビット]から[1024ビット]に変更し、[証明書の生成]をクリックします。
- プロパティ>PKI(公開鍵基盤)設定>SSL/TLS設定の順でクリックし、下図の画面が表示されるので、[HTTP-SSL/TLS通信]をチェックして[新しい設定を適用]をクリックします。その後、複合機/プリンターを再起動してください。
分類Cの商品の場合
PCのブラウザーでCentreWare Internet Serviceにアクセスします。
URLはhttps://<複合機かプリンターのIPアドレス> になります。
- プロパティ>セキュリティー>証明書管理の設定の順でクリックすると、下図の画面が表示されるので[一覧の表示]をクリックします。(機種や機器構成によっては1.~2の画面を経由せずに下記3.の画面から表示されることがあります)
- 削除する証明書をチェックし、[証明書の表示]をクリックします。「* 有効」と表示された証明書が現在使用されている証明書です。
- 証明書の公開キーのサイズが512ビットであることを確認し、[削除]をクリックします。
- [一覧の表示]で表示された他の証明書についても、これまでの手順を繰り返して削除します。すべての証明書を削除後、複合機/プリンターを再起動してください。
PCのブラウザーでCentreWare Internet Serviceにアクセスします。
URLはhttp://<複合機かプリンターのIPアドレス> になります。 - プロパティ>セキュリティー>セキュリティー一般の順でクリックすると、下図の画面が表示されるので、[自己証明書の生成]ボタンをクリックします。
- [公開キーのサイズ]を [512ビット]から[1024ビット]に変更し、[証明書の生成]をクリックします。
- プロパティ>PKI(公開鍵基盤)設定>SSL/TLS設定の順でクリックし、下図の画面が表示されるので、[HTTPS]をチェックして[新しい設定を適用]をクリックします。その後、複合機/プリンターを再起動してください。
分類Dの商品の場合
PCのブラウザーでCentreWare Internet Serviceにアクセスします。
URLはhttps://<プリンターのIPアドレス> になります。
- プロパティ>セキュリティー>証明書管理の順でクリックすると、下図の画面が表示されるので、証明書の公開キーのサイズが512ビットであることを確認し、[削除]をクリックします。削除後、プリンターを再起動してください。
PCのブラウザーでCentreWare Internet Serviceにアクセスします。
URLはhttp://<プリンターのIPアドレス> になります。 - プロパティ>セキュリティー>SSL/TLSサーバー通信の順でクリックし、下図の画面が表示されるので、[自己証明書の生成]ボタンをクリックします。
- [公開キーのサイズ]を [512ビット]から[1024ビット]に変更し、[証明書の生成]をクリックします。
- プロパティ>セキュリティー>SSL/TLSサーバー通信の順でクリックし、下図の画面が表示されるので、[HTTP-SSL/TLS通信]をチェックして[新しい設定を適用]をクリックします。その後、複合機/プリンターを再起動してください。
分類Eの商品の場合
PCのブラウザーでCentreWare Internet Serviceにアクセスします。
URLはhttps://<複合機のIPアドレス> になります。
プロパティ>セキュリティー>証明書の設定の順でクリックし、[自己証明書の作成]ボタンをクリックします。公開キーのサイズを指定できますので、[1024ビット]を選択し、[新しい設定を適用]をクリックしてください。
プロパティ>ネットワーク設定>プロトコル設定>HTTPの順でクリックし、SSL通信を有効に設定してください。
c.Windows® XP以降で設定した場合、手順a.で変更した証明書の設定を元に戻す
支援ツール(ssl1024.bat)を使い、鍵長を1024ビットにします。
ssl1024.batは、支援ツール(ssl1024.bat)より取得してください。
ssl1024.bat操作
上記ではcertutilからのメッセージが表示されています。==== で囲まれている部分は、バッチファイル中で表示しているメッセージです。
最短鍵長の設定を削除し、デフォルト値(KB261245適用後は1024ビット)にします。ssl512.batと同様に管理者権限で実行する必要があります。
下図はWindows® XPでの実行メッセージです。設定後、下記メッセージを表示してPAUSEします。ここで何らかのキー入力をすることで、実行が終了し、Windows®が閉じます。
もしssl512.batを実行していなかった場合は、下記のような結果となります。
削除しようとしたレジストリキーがなかった旨を表示しますが、問題はありません。
以下はWindows® 7での実行メッセージです。設定後、下記メッセージを表示してPAUSEします。
上の画面でもCertSrvの再起動が必要とありますが、IEを再起動(終了→起動)することで、設定は有効となります。
以下はWindows® 7でssl512.batを実行していない場合のメッセージです。
この場合も特にシステム上の不具合はありません。
d.Internet Explorer®を使ってCentreWare Internet Servicesに正常にアクセスできることを確認する
Internet Explorer®からSSL/TLS通信で複合機/プリンターへ正常にアクセス可能か確認します。
https://<複合機かプリンターのIPアドレス>で接続してください。
上記のような画面が表示されますので、「このサイトの閲覧を続行する(推奨されません)。」をクリックし、次のようにCentreWare Internet Servicesの画面が表示されることを確認してください。
