概要

この記事では、xConnect証明書の問題をトラブルシューティングするためのシナリオについて、ステップ・バイ・ステップで記載しています。

• シナリオ1: サーバー証明書の問題
• シナリオ2: クライアント証明書の問題
• シナリオ3: クライアント証明書に関連する403 Forbiddenエラー

この問題の症状として、xConnect証明書に関するエラーがログ ファイルに出力されたり、エクスペリエンス アナリティクスのUIに次のようなエラーが表示される場合があります。

シナリオ1：サーバー証明書の問題

症状：

CDサーバーのログ ファイルに以下の例外が出力されます。

ERROR Cannot start analytics Tracker
Exception: System.Net.Http.HttpRequestException
Message: An error occurred while sending the request.
Source: Sitecore.Xdb.Common.Web
   at Sitecore.Xdb.Common.Web.Synchronous.SynchronousExtensions.SuspendContextLock[TResult](Func`1 taskFactory)
   at Sitecore.Analytics.DataAccess.Dictionaries.DataStorage.ReferenceDataClientDictionary.EnsureDefinitionType(String definitionTypeName)
   at Sitecore.Analytics.DataAccess.Dictionaries.DataStorage.ReferenceDataClientDictionary.LoadAs[T](Object key)
   at Sitecore.Analytics.DataAccess.Dictionaries.AverageCounterExtensions.MeasureMilliseconds[T](AverageCounter counter, Func`1 func)
   at Sitecore.Analytics.DataAccess.Dictionaries.ReferenceDataDictionary`2.Get(TKey key, LookupStrategy strategy)
   at Sitecore.Analytics.DataAccess.Dictionaries.UserAgentsDictionary.Register(String userAgentName)
   at Sitecore.Analytics.Tracking.CurrentVisitContext.set_UserAgent(String value)
   at Sitecore.Analytics.Pipelines.CreateVisits.InitializeWithRequestData.Process(CreateVisitArgs args)
   at (Object , Object[] )
   at Sitecore.Pipelines.CorePipeline.Run(PipelineArgs args)
   at Sitecore.Pipelines.DefaultCorePipelineManager.Run(String pipelineName, PipelineArgs args, String pipelineDomain)
   at Sitecore.Analytics.Pipelines.CreateVisits.CreateVisitPipeline.Run(CreateVisitArgs args)
   at Sitecore.Analytics.Tracking.StandardSession.CreateInteraction(HttpContextBase httpContext)
   at Sitecore.Analytics.Pipelines.InitializeTracker.CreateVisit.Process(InitializeTrackerArgs args)
   at (Object , Object[] )
   at Sitecore.Pipelines.CorePipeline.Run(PipelineArgs args)
   at Sitecore.Pipelines.DefaultCorePipelineManager.Run(String pipelineName, PipelineArgs args, String pipelineDomain)
   at Sitecore.Analytics.Pipelines.InitializeTracker.InitializeTrackerPipeline.Run(InitializeTrackerArgs args)
   at (Object , Object[] )
   at Sitecore.Pipelines.CorePipeline.Run(PipelineArgs args)
   at Sitecore.Pipelines.DefaultCorePipelineManager.Run(String pipelineName, PipelineArgs args, String pipelineDomain)
   at Sitecore.Analytics.Pipelines.StartTracking.StartTrackingPipeline.Run(StartTrackingArgs args)
   at Sitecore.Analytics.DefaultTracker.StartTracking()

Nested Exception

Exception: System.Net.WebException
Message: The request was aborted: Could not create SSL/TLS secure channel.
Source: System
   at System.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult)
   at System.Net.Http.HttpClientHandler.GetResponseCallback(IAsyncResult ar)

解決策：

ブラウザを使用してxConnectインスタンスをリクエストします。証明書のプロンプトが表示された場合、プロンプトを閉じます。

接続が安全であることを確認します。

1. 接続が安全な場合：
   
2. 接続が安全ではなく、SitecoreとxConnect間の接続を確立できない場合：
   

接続が安全ではない場合、HTTPSサイト バインディングに使用されるサーバー証明書の有効期限が切れていないことを確認してください。また、証明書のIssued Toプロパティが使用するホスト名と一致することを確認してください。

註: 証明書のサムプリントをMicrosoft 管理コンソール(MMC)アプリケーションからコピーする場合、最初から目に見えない記号が含まれている場合があります。そのような不可視の記号がある場合、Sitecore XP設定に証明書のサムプリントを適用する前に、手動で除去する必要があります。

シナリオ2：クライアント証明書の問題

症状：

以下のようなエラーがログに記録される場合があります。

[Experience Analytics]: Failed to synchronize segments. Message: The certificate was not found. Store: My, Location: CurrentUser, FindType: FindByThumbprint, FindValue: 83DCC21BBF54D76F71D7B67EA2319273BCDA8E10, InvalidAllowed: True.. Details:    at Sitecore.Xdb.Common.Web.Synchronous.SynchronousExtensions.SuspendContextLock[TResult](Func`1 taskFactory)
   at Sitecore.ExperienceAnalytics.Core.Repositories.ReferenceData.ReferenceDataSegmentReader.GetAll(NameValueCollection readingPreferences)
   at Sitecore.ExperienceAnalytics.Aggregation.Repositories.AggregationSegmentReader.GetAll(NameValueCollection readingPreferences)
   at Sitecore.ExperienceAnalytics.Client.Deployment.SyncSegmentsManager.GetSegmentsToSynchronize()
   at Sitecore.ExperienceAnalytics.Client.Deployment.SyncSegmentsManager.SynchronizeAllSegments()
   at System.Threading.Tasks.Task.Execute()
--- End of stack trace from previous location where exception was thrown ---
   at System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   at Sitecore.ExperienceAnalytics.Client.Deployment.SyncSegmentsProcessor.<process>d__4.MoveNext()

Exception System.InvalidOperationException: The certificate was not found. Store: My, Location: CurrentUser, FindType: FindByThumbprint, FindValue: 83DCC21BBF54D76F71D7B67EA2319273BCDA8E10, InvalidAllowed: True.
   at Sitecore.Xdb.Common.Web.Synchronous.SynchronousExtensions.SuspendContextLock[TResult](Func`1 taskFactory)
   at Sitecore.ExperienceAnalytics.Core.Repositories.ReferenceData.ReferenceDataSegmentReader.Get(IEnumerable`1 keys, NameValueCollection readingPreferences)
   at Sitecore.ExperienceAnalytics.Aggregation.Repositories.AggregationSegmentReader.Get(IEnumerable`1 keys, NameValueCollection readingPreferences)
   at Sitecore.ExperienceAnalytics.Api.RequestTypeResolver.GetReportSegments()
   at Sitecore.ExperienceAnalytics.Api.RequestTypeResolver.GetRequestType()
   at Sitecore.ExperienceAnalytics.Api.Http.ModelBinding.ReportQueryModelBinder.GetModelFromBindingContext(HttpActionContext actionContext, ModelBindingContext bindingContext)
   at Sitecore.ExperienceAnalytics.Api.Http.ModelBinding.ReportQueryModelBinder.BindModel(HttpActionContext actionContext, ModelBindingContext bindingContext)
   at System.Web.Http.ModelBinding.ModelBinderParameterBinding.ExecuteBindingAsync(ModelMetadataProvider metadataProvider, HttpActionContext actionContext, CancellationToken cancellationToken)
   at System.Web.Http.Controllers.HttpActionBinding.<executebindingasynccore>d__12.MoveNext()
   ...

Exception System.InvalidOperationException: Ensure definition type did not complete successfully. StatusCode: 401, ReasonPhrase: 'Invalid certificate', Version: 1.1, Content: System.Net.Http.StreamContent, Headers:
{
  Pragma: no-cache
  Cache-Control: no-cache
  Date: Thu, 02 Jan 2020 15:03:36 GMT
  Server: Microsoft-IIS/10.0
  X-AspNet-Version: 4.0.30319
  X-Powered-By: ASP.NET
  Content-Length: 0
  Expires: -1
}
   at Sitecore.Xdb.Common.Web.Synchronous.SynchronousExtensions.SuspendContextLock[TResult](Func`1 taskFactory)
   at Sitecore.ExperienceAnalytics.Core.Repositories.ReferenceData.ReferenceDataSegmentReader.Get(IEnumerable`1 keys, NameValueCollection readingPreferences)
   at Sitecore.ExperienceAnalytics.Aggregation.Repositories.AggregationSegmentReader.Get(IEnumerable`1 keys, NameValueCollection readingPreferences)
   at Sitecore.ExperienceAnalytics.Api.RequestTypeResolver.GetReportSegments()
   at Sitecore.ExperienceAnalytics.Api.RequestTypeResolver.GetRequestType()
   at Sitecore.ExperienceAnalytics.Api.Http.ModelBinding.ReportQueryModelBinder.GetModelFromBindingContext(HttpActionContext actionContext, ModelBindingContext bindingContext)
   at Sitecore.ExperienceAnalytics.Api.Http.ModelBinding.ReportQueryModelBinder.BindModel(HttpActionContext actionContext, ModelBindingContext bindingContext)
   at System.Web.Http.ModelBinding.ModelBinderParameterBinding.ExecuteBindingAsync(ModelMetadataProvider metadataProvider, HttpActionContext actionContext, CancellationToken cancellationToken)
   at System.Web.Http.Controllers.HttpActionBinding.<executebindingasynccore>d__12.MoveNext()
   ...

解決策：

1. SitecoreXPロールの接続文字列の証明書のサムプリント（拇印）が、使用中の証明書のサムプリントと一致していることを確認します。
   

   <add name="xconnect.collection.certificate" 
   connectionString="StoreName=My;StoreLocation=CurrentUser;FindType=FindByThumbprint;FindValue=83DCC21BBF54D76F71D7B67EA2319273BCDA8E19" />

   <add name="sitecore.reporting.client.certificate" 
   connectionString="StoreName=My;StoreLocation=CurrentUser;FindType=FindByThumbprint;FindValue=83DCC21BBF54D76F71D7B67EA2319273BCDA8E19" />

   <add name="xdb.marketingautomation.operations.client.certificate" 
   connectionString="StoreName=My;StoreLocation=CurrentUser;FindType=FindByThumbprint;FindValue=83DCC21BBF54D76F71D7B67EA2319273BCDA8E19" />

   <add name="xdb.marketingautomation.reporting.client.certificate" 
   connectionString="StoreName=My;StoreLocation=CurrentUser;FindType=FindByThumbprint;FindValue=83DCC21BBF54D76F71D7B67EA2319273BCDA8E19" />

   <add name="xdb.referencedata.client.certificate" 
   connectionString="StoreName=My;StoreLocation=CurrentUser;FindType=FindByThumbprint;FindValue=83DCC21BBF54D76F71D7B67EA2319273BCDA8E19" />

2. xConnectおよびMarketing AutomationロールのvalidateCertificateThumbprint値が使用中の証明書のサムプリントと一致していることを確認します。この設定は次のファイルにあります：\App_Config\AppSettings.config
3. AutomationEngineジョブのxconnect.collection.certificate接続文字列に正しい証明書のサムプリントがあることを確認します：
   \App_Data\jobs\continuous\AutomationEngine\App_Config\ConnectionStrings.config
4. [Sitecore XP 9.1+の場合]ProcessingEngineのxconnect.collection.certificate、xconnect.configuration.certificateおよびxconnect.search.certificate接続文字列に正しい証明書のサムプリントがあることを確認します： \App_Data\jobs\continuous\ProcessingEngine\App_Config\ConnectionStrings.config
5. 証明書が自己署名されている場合、Sitecore XPロールでAllowInvalidClientCertificatesアプリケーションの設定がtrueであることを確認します（この設定は、デフォルトでWeb.configファイルにあります）：
   

   <add key="AllowInvalidClientCertificates" value="True" />

6. 証明書が自己署名されている場合、xConnectロールでAllowInvalidClientCertificatesアプリケーションの設定がtrueであることを確認します。この設定は、デフォルトで次のファイルにあります： 
   \App_Config\AppSettings.config
   \App_Data\jobs\continuous\JOB_NAME_GOES_HERE\App_Config\AppSettings.config

註: 設定のサムプリントの値は、大文字である必要があります。

ソリューションの実装に応じて、以下のいずれかを実施します。

• オンプレミスの場合：
  
  1. PowerShellで証明書の目的を確認します：
     

     $cert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Thumbprint -match "XXXX...XXXX"} 
     foreach($key in $cert.Extensions){if('EnhancedKeyUsages' -in $key.psobject.Properties.Name){ $key.EnhancedKeyUsages.FriendlyName }}
     

     XXXX...XXXXの部分は接続文字列のサムプリントで置き換えます。
     
     この例では、「LocalMachine」StoreLocationと「My」StoreNameを使用していることにご注意ください。接続文字列に異なる値がある場合、それに応じてスクリプトを更新してください：

     <add name="xconnect.collection.certificate" connectionString="StoreName=My;StoreLocation=LocalMachine;FindType=FindByThumbprint;FindValue=XXXX...XXXX" />

     スクリプトを実行すると、リストに「Client Authentication」が出力されるはずです。
     
  2. Sitecore XPおよびxConnectアプリケーションを実行するプロセスがクライアント証明書の秘密鍵にアクセスできることを確認します。
     

     2.1. Windowsの「ファイル名を指定して実行」ウィンドウを開き、mmcコマンドを入力します。

     2.2. 開いたウィンドウで、ファイルをクリックし、ドロップダウン リストからスナップインの追加と削除を選択します。利用可能なスナップインの中から証明書を選択し、追加をクリックします。ポップアップ ウィンドウで、コンピュータ アカウント ラジオ ボタンを選択し、完了をクリックします。

     2.3. 左側のコンソール ルート領域で、証明書 (ローカルコンピューター)を展開し、個人フォルダーを展開し、証明書フォルダーをクリックします。ウィンドウの中部で、テーブルの中からクライアント証明書を探します（証明書が正しいことを確認するには、証明書をダブル クリックし、詳細を選択してリストから拇印を選択し、接続文字列と同じであることを確認します）。
     

     2.4. 証明書を右クリックし、ドロップダウン リストですべてのタスクを選択し、秘密キーの管理を選択します。
     

     2.5. アプリケーションを実行するユーザーがリストに含まれていることを確認します。
     
     
     そのユーザーが含まれていない場合、追加をクリックしてウィンドウを開き、 場所の指定フィールドにサーバー ルートを指定し、検索ウィンドウにユーザー名を入力します。検索ウィンドウで、「IIS AppPool\UserName」を入力します。ここで、ユーザー名は、アプリケーションの実行に使用されるユーザーの名前です。
     
     
     アプリケーションを実行するユーザーを探すには、タスク マネージャを利用することが出来ます。例えば、以下の場合、ユーザー名は「sc902.xconnect 」です。
     

  3. 以下のPowerShellスクリプトを使用して、信頼されたルートに自己署名されていない証明書が含まれていないことを確認します：
     

     Get-Childitem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject}

     存在する場合は、それらを中間認証局に移動します：
     

     Get-Childitem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject} | Move-Item -Destination Cert:\LocalMachine\CA

  4. xConnectインスタンスがクライアント証明書を受け入れられることを確認します：
     

     4.1. IISでxConnectサイトを選択します。

     4.2. IISセクションのSSL設定のアイコンをクリックして、構成が以下のようになっていることを確認します：
     

  Azure Web Appsの場合：

  
  
  1. xConnectサービスの「Incoming client certificate」が有効になっていることを確認します。
     
     
     
     
  2. WEBSITE_LOAD_CERTIFICATESアプリケーションの設定がすべてのSitecoreおよびxConnect Web Appsに対して定義されており、証明書と同じサムプリントが含まれていることを確認します。
     

シナリオ3： クライアント証明書に関連する403 Forbiddenエラー

症状：

以下のエラーがXConnectインスタンスのIISログに記録される場合があります。

Exception: Sitecore.XConnect.XdbCollectionUnavailableException
Message: The HTTP response was not successful: Forbidden
Source: Sitecore.Xdb.Common.Web
at Sitecore.Xdb.Common.Web.Synchronous.SynchronousExtensions.SuspendContextLock[TResult](Func`1 taskFactory)
at Sitecore.XConnect.Client.XConnectSynchronousExtensions.SuspendContextLock(Func`1 taskFactory)
at Sitecore.XConnect.Client.Configuration.SitecoreXConnectClientConfiguration.Initialize(XmlNode configNode)
at Sitecore.Configuration.DefaultFactory.CreateObject(XmlNode configNode, String[] parameters, Boolean assert, IFactoryHelper helper)
at Sitecore.Configuration.DefaultFactory.CreateObject(XmlNode configNode, String[] parameters, Boolean assert)
at Sitecore.Configuration.DefaultFactory.CreateObject(String configPath, String[] parameters, Boolean assert)
at Sitecore.XConnect.Client.Configuration.SitecoreXConnectClientConfiguration.GetClient(String clientConfigPath)
at Sitecore.Analytics.XConnect.DataAccess.BatchEnabledXdbRuntimeContext..ctor(IXdbContextFactory factory)
at Sitecore.Analytics.Events.BatchEventHandler.OnBatchStarting(Object sender, EventArgs args)
at Sitecore.Events.Event.EventSubscribers.RaiseEvent(String eventName, Object[] parameters, EventResult result)

註: このステータス コード403.13、サブステータス コード13のエラーは、IISのクライアント証明書失効チェックに関連しています。

Exception System.InvalidOperationException: Ensure definition type did not complete successfully. StatusCode: 403, ReasonPhrase: 'Forbidden', Version: 1.1, Content: System.Net.Http.StreamContent, Headers:
{
Date: Sun, 1 Mar 2021 05:02:23 GMT
Server: Microsoft-IIS/10.0
X-Powered-By: ASP.NET
Content-Length: 1377
Content-Type: text/html
}
at Sitecore.Xdb.Common.Web.Synchronous.SynchronousExtensions.SuspendContextLock[TResult](Func`1 taskFactory)
at Sitecore.ExperienceAnalytics.Core.Repositories.ReferenceData.ReferenceDataSegmentReader.Get(IEnumerable`1 keys, NameValueCollection readingPreferences)
at Sitecore.ExperienceAnalytics.Aggregation.Repositories.AggregationSegmentReader.Get(IEnumerable`1 keys, NameValueCollection readingPreferences)
at Sitecore.ExperienceAnalytics.Api.RequestTypeResolver.GetReportSegments()
at Sitecore.ExperienceAnalytics.Api.RequestTypeResolver.GetRequestType()
at Sitecore.ExperienceAnalytics.Api.Http.ModelBinding.ReportQueryModelBinder.GetModelFromBindingContext(HttpActionContext actionContext, ModelBindingContext bindingContext)
at Sitecore.ExperienceAnalytics.Api.Http.ModelBinding.ReportQueryModelBinder.BindModel(HttpActionContext actionContext, ModelBindingContext bindingContext)
at System.Web.Http.ModelBinding.ModelBinderParameterBinding.ExecuteBindingAsync(ModelMetadataProvider metadataProvider, HttpActionContext actionContext, CancellationToken cancellationToken)
at System.Web.Http.Controllers.HttpActionBinding.>ExecuteBindingAsyncCore<d__12.MoveNext()
   ...

解決策:

• 無効化されていない証明書を使用し、ルート証明書が有効であることを確認します。検証を実施するには、2番目のシナリオの解決策で述べられている手順に従います。
• または、以下の記事で述べられている内容に従ってIISを構成し、証明書失効チェックを無効化します。
  
  • Client Certificate Revisited: How to troubleshoot client certificate related issues
  • Disable Client Certificate Revocation (CRL) Check on IIS