70285: ファイアウォールおよび DPI ソフトウェアが原因となっている接続問題のトラブルシューティングを行うために OpenSSL を使用する方法

次の言語でも参照できます:

use Google Translate

次の製品に該当します: 

Last update: 01-03-2022

使用例

  1. 貴方の企業のネットワークは、暗号化されたトラフィックにのみ対応するファイアウォールまたは DPI(ディープ パケット インスペクション)を含む高度なセキュリティ制度を整えています。その場合、Acronis Connection Verification Tool(接続確認ツール)は接続に成功したことを報告しますが、バックアップには失敗します。チェーンの中で不明な証明書が存在すると、Acronis ストレージはその接続を拒否します。
  2. MacOS 用の Acronis Connection Verification Tool はまだありません。その代わりに、OpenSSL を使用できます。
  3. Acronis アカウントとのライセンスの同期に失敗します。

OpenSSL について

OpenSSL は、コマンドや使用シナリオの多い無償のツールです。この記事では、SSL ハンドシェイクを実行できるというその機能に集中し、その際に取得される証明書をお見せします。

32ビットおよび64ビット版の Windows OS 用の OpenSSL は、こちらからダウンロードできます: http://wiki.overbyte.eu/wiki/index.php/ICS_Download#Download_OpenSSL_Binaries_.28required_for_SSL-enabled_components.29

MacOS および Linux では、このツールはデフォルトで有効にされている可能性が高いです。

使用方法

問題が発生するコンピュータで、Openssl.exe が入っているフォルダを開きます(cd "ツールへのパス" を使ってください)。そこで、以下の OpenSSL コマンドを実行します:
openssl s_client -showcerts -connect <アドレス>:<ポート>

上記の <アドレス> は、チェックするアドレスに変えてください。

多くの場合、チェックしなければいけないポートはエラーメッセージに記載されています。たとえば、以下の例では、ポート 8443 をチェックする必要があります:

エラーコード: 307
モジュール: 626
行情報: 0x50e61e3e2e723ba3
フィールド: {"$file":"d:\\1737\\core\
network\\astorage\\reg_server\\lib\\ssl_connection.cpp","address":"rs-ca01-cloud.acronis.com","$module":"isk_bundle_vsa64_26986","$line":"158","port":"8443","$func":"AStorage::RegServer::SslConnection::Execute"}
メッセージ: Could not perform SSL_write() call: 

ネットワークのトレースを行うユーティリティ(Wireshark など)を使用する場合、接続エラーが表示されるポートをチェックしてください。

使用方法の例:

ストレージへの接続をチェックする場合は、必要なポート番号は 44445 になります。
例えば: openssl s_client -showcerts -connect baas-fes-eu.acronis.com:44445 -cert C:\ProgramData\Acronis\BackupAndRecovery\OnlineBackup\Default\cert.crt

なお、上記のコマンドにおける証明書へのパス(-cert に続くパス)は、エージェントの Cloud 証明書が保存されているロケーションへのパスにする必要があります。

(ストレージへの接続に問題が発生する場合は、必ず -cert に有効なパスを指定してください。有効な接続試行を再現するためです。)

管理コンポーネントへの接続をチェックする場合は、必要なポート番号は 443 および 8443 になります。
たとえば: openssl s_client -showcerts -connect eu-cloud.acronis.com:8443
openssl s_client -showcerts -connect eu-cloud.acronis.com:443

以下の例のように、追加で出力をファイルに書き込むことができます:
openssl s_client -showcerts -connect baas-fes-eu.acronis.com:44445 -cert C:\ProgramData\Acronis\BackupAndRecovery\OnlineBackup\Default\cert.crt > output3.txt

これで接続に失敗する場合は、対象のポートは完全にクローズされており、開く必要があるということです。

接続が確立した場合は、証明書のチェーンが返されます:

openssl.exe s_client -showcerts -connect us-cloud.acronis.com:443
CONNECTED(00000168)
depth=2 C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", CN = Go Daddy Root Certificate Authority - G2
verify error:num=19:self signed certificate in certificate chain
---
Certificate chain
 0 s:OU = Domain Control Validated, CN = *.acronis.com
   i:C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2
-----BEGIN CERTIFICATE-----
MIIFLTCCBBWgAwIBAgIJAPghs/Ty/UwVMA0GCSqGSIb3DQEBCwUAMIG0MQswCQYD
<.....>
KYMFvd0OVQYeSFNQAlbLExryqZkWcHZlyjy3ypeO4Ojx
-----END CERTIFICATE-----
 1 s:C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", CN = Go Daddy Root Certificate Authority - G2
   i:C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", CN = Go Daddy Root Certificate Authority - G2
-----BEGIN CERTIFICATE-----
MIIDxTCCAq2gAwIBAgIBADANBgkqhkiG9w0BAQsFADCBgzELMAkGA1UEBhMCVVMx
<.....>
4uJEvlz36hz1
-----END CERTIFICATE-----
 2 s:C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2
   i:C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", CN = Go Daddy Root Certificate Authority - G2
<.....>
---

これは、接続の確立に成功したことを意味します。以下の部分で確認できます:
Certificate chain
 0 s:OU = Domain Control Validated, CN = *.acronis.com
   i:C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2

無効な証明書の例:

Certificate chain
   0 s:C = "CH ", L = Schaffhausen, O = Acronis, OU = AcronisStorage, CN = Front End Server 
     i:C = US, ST = California, L = Sunnyvale, O = Fortinet, OU = Certificate Authority, CN = FG100E4Q17024322, emailAddress = support@fortinet.com 
-----BEGIN CERTIFICATE-----
 --- Server certificate subject=C = "CH ", L = Schaffhausen, O = Acronis, OU = AcronisStorage, CN = Front End Server 
issuer=C = US, ST = California, L = Sunnyvale, O = Fortinet, OU = Certificate Authority, CN = FG100E4Q17024322, emailAddress = support@fortinet.com

この例では、証明書は Fortinet によって発行されており、ストレージサーバーによって拒否されます。

何らかの理由で中間者原理(MITM)に応じて別の証明書が挿入されている場合は、このチェーンで表示されます。その場合は、ご使用のソフトウェアのホワイトリストに Acronis Cyber Backup Cloud のプロセス、あるいはポート、ホスト名およびアドレスを追加する必要があります。

タグ: