【解決方法】システムイベント ID 36881 (Schannel) について

2022年8月24日
2022年8月25日
トラブル事例

トラブル事例

システムイベント (ソース：Schannel) ID 36881 は SSL/TLS 通信に関するエラーイベントログです。
今回は、ID 36881 のイベントログの意味や確認すべきポイントについて紹介します。

この問題を解決するには、SSL/TLS の基本知識が必要です。
また、SSL/TLS の一般的な仕組みについては、以下の記事で紹介していますのでご参照ください。

インターネット上で通信を暗号化して送信し、他の人に見られないように安全に通信を行うためのプロトコルである SSL/TLS の概要について説明します。 SSL/TLS とは SSL/TLS とはインターネット等の通信ネットワークにおいて、[…]

【PKI 応用】SSL/TLS ハンドシェイクをわかりやすく図解

SSL/TLS では暗号化通信を開始する前に、SSL/TLS ハンドシェイクと呼ばれるやりとりを行い、暗号化通信を行うにあたって必要な情報を交換し、暗号化通信を確立します。 SSL/TLS ハンドシェイクにて、クライアントとサーバー間で暗[…]

1 イベント ID 36881 の概要
2 イベント ID 36881 エラーログの解析
3 対処策について
4 参考事例

イベント ID 36881 の概要

システムイベントログに以下のようなエラーログが記録されていることがあります。

ログ名: System
ソース: Schannel
日付: YYYY/MM/DD HH:MM:SS
イベントID: 36881
カテゴリ: 0
レベル: エラー
ユーザー: <ユーザー ID>
コンピュータ: <コンピューター名>

説明:
リモートサーバーから受信した証明書は、期限が切れているかまたはまだ有効ではありません。TLS 接続の要求に失敗しました。添付されたデータにサーバー証明書が含まれています。

このエラーログは SSL 証明書の有効期限内ではないことを示すエラーログです。
SSL/TLS 通信の確立時に相手から送信されたサーバー証明書の有効期限が切れている、もしくは有効期間が開始されていないために、SSL/TLS 通信に失敗したことを示しています。

このエラーは、SSL/TLS 通信に失敗しただけとなり、コンピューターに問題があるわけではありません。
これらのエラーログの原因となった SSL/TLS 通信が、不要な通信である可能性もあります。
そのため、このエラーログが記録されたタイミングにおいて、特に問題が発生していない場合は無視して問題ありません。

SSL/TLS 通信が関連している問題の場合、エラー ID 36881 が原因である可能性があります。
その場合、ID 36881 エラーログから、エラーの原因となった証明書を確認した上で対処することで問題を解決することができます。

イベント ID 36881 エラーログの解析

ID 36881 エラーの要因となった証明書は、イベントログの中身から確認することができます。

ID 36881 エラーログには、信頼されていない証明機関によって発行されたと判断された証明書のバイナリデータが含まれています。この証明書のバイナリデータより、証明書の詳細情報を確認することができます。確認方法は以下の通りです。

1) [ファイル名を指定して実行] を開き、eventvwr と入力して [OK] をクリックします。

2) 画面の左ペインより、[イベントビューアー] – [Windows ログ] – [システム] を選択します。

3) 対象のイベント ID 36881 エラーログを選択します。

4) [詳細] タブを選択し、[XML で表示] を選択します。

5) XML 表示の <EventData> タグの下の <Binary> のデーターをコピーします。

6) 新しくテキストエディタを開き、<Binary> 内のデータをコピーして、ファイル名 (例：cert.txt) を指定して保存します。

7) コマンドプロンプトを開き、cd コマンドで証明書のバイナリデータのファイルをあるフォルダに移動します。

8) 以下のコマンドを実行して、バイナリデータをデコードして証明書ファイルに変換します。

certutil -f -decodehex <バイナリデータのファイル> <証明書のファイル> 12

実行例：
certutil -f -decodehex cert.txt cert.crt 12

9) 作成されたファイル(cert.crt)をダブルクリックして開きます。

10) その証明書が ID 36881 エラーが要因となった証明書です。

対処策について

イベント ID 36881 エラーが記録された端末で、必要な対処策はありません。

イベント ID 36881 エラーの原因となったサーバー上で、有効期間内の SSL 証明書に変更する必要があります。原因のサーバーが社内の Web サーバーであれば、SSL 証明書を発行して、HTTPS でリッスンしているポートにバインドしてください。

社外のサーバーであれば、対象のサーバーを運用している会社へ問い合わせてください。

参考事例

*.wns.windows.com とする証明書の有効期限が 2022‎年‎8‎月‎18‎日 2:44:18 で切れておりました。

この証明書は Windows Push Notification Service という、アプリへのプッシュ通知用のサービスにて利用される証明書となります。この問題が発生した時に、プッシュ通知を利用しているアプリにてプッシュ通知に失敗している可能性があります。

今回、このプッシュ通知にて利用される通信の接続先に、古いサーバー証明書が残ったサーバーが存在しておりました。そのため、マイクロソフト社は一時的な回避策として、新しい証明書が設定されたサーバーへリダイレクトされるように変更し、その間に古い証明書が残っていたサーバーにて、新しいサーバー証明書を設定しております。

この事象は、2022 年 8 月 18 日 9 時頃には解消しておりますので、2022‎年‎8‎月‎18‎日午前中に記録されているイベント ID 36881 エラーについては特に対処していただく必要はありません。