Problemi di installazione o upgrade del prodotto a causa di certificati root mancanti
Articoli tecnici ID:
KB87096
Ultima modifica: 2023-02-27 21:59:22 Etc/GMT
Ambiente
Applicazione e controllo delle modifiche (ACC) 8.x
Data Exchange Layer 6.x , 5.x
Data Loss Prevention Endpoint 11.x
Endpoint Intelligence Agent 2.x
Firewall 10.x Endpoint Security (ENS)
Piattaforma ENS (In comune) 10.x
Prevenzione delle minacce 10.x ENS
Controllo Web 10.x ENS
Host Intrusion Prevention 8.0
McAfee Active Response 2.x
McAfee Agent 5.x
Modulo Threat Intelligence Exchange per VirusScan Enterprise (VSE) 1.x
VSE 8.8
Riepilogo
Aggiornamenti recenti a questo articolo
Data
Aggiornamento
24 giugno 2022
È stata modificata la nota relativa alla scadenza dei certificati root nella "causa" sezione
22 giugno 2022
Aggiunta di una nota relativa alla scadenza dei certificati radice nella "causa" sezione.
10 giugno 2022
Aggiunto Trellix (" Musarubra ") root e certificati intermedi.
Per ricevere notifiche email quando l'articolo viene aggiornato, fare clic su Sottoscrivi sul lato destro della pagina. Per sottoscriversi, è necessario effettuare l'accesso.
Problema
Quando si tenta di installare o effettuare l'upgrade di un prodotto, viene visualizzato uno dei seguenti problemi:
Fare clic per espandere la sezione che si desidera visualizzare.
Un'installazione o un upgrade non riesce per uno dei prodotti elencati nella sezione "ambiente" di questo articolo.
L'errore può verificarsi quando si installa o si effettua l'upgrade della piattaforma ENS di base. Questo errore può influire anche sull'installazione o sull'upgrade di tutti i moduli della piattaforma ENS.
Vengono registrati i seguenti errori:
VSE VSEInst_xxxxxx_xxxxxx.log :
Error - SysCore install failed: 255
!> leave custom action Install_SysCore()
CustomAction Install_SysCore returned actual error code 1603 (NOTE: This code might not be 100% accurate if translation happened inside sandbox)
Fin de la acción 12:28:11: InstallExecute. Return value 3.
MSI (s) (98:70) [12:28:11:908]: Note: 1: 2265 2: 3: -2147287035
ERROR! Signature check failed
ValidateDocument: return=0 ERROR! While validating document
policy disable 0 service stopped 0 Returning 4294967295
ENS McAfee_Common_VScore_Install_date_time.log :
AAC is not installed. Err=-2146869243 ERROR! Failed to create AAC Control. Err=-2146869243
StartStopAllMMSServices: ERROR! MmsControlCreate failed with -2146869243
ENS McAfee_MfeEpAac_date_time.log :
VerifyParentEntryPointIsMcAfeeSigned: VerifyProcess PID[2340] LastErr 0x80096005 The time stamp signature or certificate could not be verified or is malformed.
LastErr 0x80096005 The time stamp signature or certificate could not be verified or is malformed.
ENS McAfee_Common_Bootstrapper_date_time.log :
Running application to gain installer exclusion failed: 2148098053
Gain installer exclusion through mfeEpAAC MFEPROTECT failed
Trying to gain installer exclusion now by mfeEpAAC protected with MFEINSTALL
Extracting MfeEpAac.exe: C:\Windows\TEMP\MfeEpAac.exe
Extraction successful
This is a 64-bit system
"C:\Windows\TEMP\MfeEpAac.exe" -add -rootlocation "C:\Program Files\McAfee\Endpoint Security" -rootlocation "C:\Program Files (x86)\McAfee\Endpoint Security" -folder "C:\ProgramData\McAfee\Endpoint Security"
PROCESS return code: 3221225506 Running application to gain installer exclusion failed: 3221225506
Nota: I codici di errore 0x80096005 e- 2146869243 translate a: TRUST_E_TIME_STAMP. La firma del timestamp o il certificato non possono essere verificati o in formato non corretto. L'errore di convalida delle informazioni sul certificato causa questo problema.
ENS Setupapi.dev.log :
sto: {DRIVERSTORE_IMPORT_NOTIFY_VALIDATE.IT_IT} 15:24:26.278
inf: Opened INF: 'C:\windows\System32\DriverStore\Temp\{0e190d7e-0a4d-0593-f0cf-a3732f126723}\mfenlfk.inf' ([strings])
sig: {_VERIFY_FILE_SIGNATURE.IT_IT} 15:24:26.285
sig: Key = mfenlfk.inf
sig: FilePath = C:\windows\System32\DriverStore\Temp\{0e190d7e-0a4d-0593-f0cf-a3732f126723}\mfenlfk.inf
sig: Catalog = C:\windows\System32\DriverStore\Temp\{0e190d7e-0a4d-0593-f0cf-a3732f126723}\mfenlfk.cat
! sig: Verifying file against specific (valid) catalog failed! (0x800b0109)
! sig: Error 0x800b0109: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
sig: {_VERIFY_FILE_SIGNATURE exit(0x800b0109)} 15:24:26.370
sig: {_VERIFY_FILE_SIGNATURE.IT_IT} 15:24:26.370
sig: Key = mfenlfk.inf
sig: FilePath = C:\windows\System32\DriverStore\Temp\{0e190d7e-0a4d-0593-f0cf-a3732f126723}\mfenlfk.inf
sig: Catalog = C:\windows\System32\DriverStore\Temp\{0e190d7e-0a4d-0593-f0cf-a3732f126723}\mfenlfk.cat
! sig: Verifying file against specific Authenticode(tm) catalog failed! (0x800b010a)
! sig: Error 0x800b010a: A certificate chain could not be built to a trusted root authority.
sig: {_VERIFY_FILE_SIGNATURE exit(0x800b010a)} 15:24:26.376
!!! sto: An unexpected error occurred while validating driver package. Assuming that driver package is unsigned. Catalog = mfenlfk.cat, Error = 0x800B010A
!!! sto: Driver package is considered unsigned.
!!! ndv: Driver package failed signature validation. Error = 0xE0000247
sto: {DRIVERSTORE_IMPORT_NOTIFY_VALIDATE exit(0xe0000247)} 15:24:26.377
!!! sto: Driver package failed signature verification. Error = 0xE0000247
!!! sto: Failed to import driver package into Driver Store. Error = 0xE0000247
sto: {Stage Driver Package: exit(0xe0000247)} 15:24:26.379
!!! sto: Failed to stage driver package to Driver Store. Error = 0xE0000247, Time = 936 ms
sto: {Import Driver Package: exit(0xe0000247)} 15:24:26.382
inf: Opened INF: 'C:\windows\TEMP\{432DB9E4-6388-432F-9ADB-61E8782F4593}\mpt_install_base\x64\mfenlfk.inf' ([strings])
! inf: Add to Driver Store unsuccessful
! inf: Error 0xe0000247: A problem was encountered while attempting to add the driver to the store.
!!! inf: returning failure to SetupCopyOEMInf
Non è possibile installare un upgrade di patch VSE 8.8 e il meccanismo di rollback non riesce. Questo errore lascia un'installazione danneggiata di VSE nel sistema. Lascia inoltre il servizio di protezione dell'affidabilità di convalida in uno stato arrestato e il servizio VSE OnAccessScanner disattivato.
Gli errori vengono registrati nei registri di installazione di VSE ( C:\Windows\Temp\McAfeeLogs ):
VSE VSE88_Patch_xxxxxx_xxxxxx.log :
>> Installing SysCore: "C:\Program Files (x86)\McAfee\VirusScan Enterprise\VSCore\x64\mfehidin.exe" -i VSE88P7 -q -mfetrust_killbit -l "C:\Windows\TEMP\McAfeeLogs\vse8.8.0.core_install_041416_090556.log" -etl "C:\Windows\TEMP\McAfeeLogs\vse8.8.0.core_install_041416_090556.etl" -x vse.xml OAS ELAM AAC DiskFilter firecore_driver EmailScan ScriptScan !> Error - SysCore install failed: 255
<= leave custom action Install_SysCore_Patch()
CustomAction Install_SysCore_Patch returned actual error code 1603 NOTE: The above code might not be 100% accurate if translation happened inside sandbox.
MSI (s) (DC:14) [09:06:35:968]: User policy value 'DisableRollback' is 0
MSI (s) (DC:14) [09:06:35:968]: Machine policy value 'DisableRollback' is 0
VSE Vse8.8.0.core_install_xxxxxx_xxxxxx.log :
GetAccessAndDeleteFile: FileDelete(C:\Program Files (x86)\Common Files\McAfee\SystemCore\mcvssnmp.dll) failed with error 5
GetAccessAndDeleteFile: FileDelete(C:\Program Files (x86)\Common Files\McAfee\SystemCore\mcvssnmp.dll.a5a7.deleteme) failed with error 2
L'upgrade di un'estensione di VSE 8.8 Patch Management non riesce con il seguente messaggio nel Orion.log file ( ..\Program Files(x86)\McAfee\ePolicy Orchestrator\Server\Conf\Orion ):
BUILD FAILED
D:\PROGRA~1\McAfee\EPOLIC~1\server\extensions\installed\VIRUSCAN8800\8.8.0.448\install.xml:78: com.mcafee.orion.core.cmd. CommandException: APPolicyMigrateCommand: Failed to create AP config
Un errore di convalida del certificato causa il problema precedente quando crea l' APConfig oggetto. Il prodotto non è in grado di convalidare i certificati DLL coinvolti. Pertanto, non è in grado di creare l' APConfig oggetto per aggiornare il Policy.
I campi per categorie e regole non contengono dati nelle policy di protezione dell'accesso di VSE. Il problema si verifica dopo l'upgrade delle estensioni della patch VSE 8.8 .
I campi per le regole non contengono dati nelle policy di protezione dell'accesso di VSE. Il problema si verifica dopo l'upgrade delle estensioni della patch VSE 8.8 .
Gli aggiornamenti che utilizzano il nnnnxdat.exe pacchetto (v2) o V3_nnnndat.exe (v3) non riescono quando uno o più certificati root sono mancanti.
Nel registro di installazione di base viene rilevato il seguente errore:
Warning: Certificate <CERTIFICATE_NAME> - not found in Root
Il registro di installazione di core del prodotto contiene errori simili agli esempi riportati di seguito:
Nota: Il nome del certificato potrebbe essere diverso nel registro di installazione di base.
ACC mac_mpt.log:
[09:14:16:612] - Total 1 Warning Value present
Code [0x60001100] : A required certificate couldn't be located in certificate store.
Total 1 Error Value present Code [0x20005011] : Internal error has occurred during installation.
Warning: Certificate UTN-USERFirst-Object - not found in Root.
Warning: Certificate GlobalSign Root CA - R1 - not found in Root. Exit code will be 4294967295
VSE VSEInst_<date_time>.log :
Warning: Certificate UTN-USERFirst-Object - not found in Root.
RecordActionCode: Action Result 1 Category 1 Message 16 (Final 0x60001100). Warning: Certificate GlobalSign Root CA - R1 - not found in Root.
LoadElamPplCerts: Ensure PPL certificates are loaded in the OS
StartStopMFeServices: stopping
StartStopAllMMSServicesExceptVTP: start=false
StartStopAllMMSServicesExceptVTP: ERROR! MmsControlCreate failed with -2146762486
StartStopAllMMSServicesExceptVTP: exit=0
ERROR: StartStopMfeServices: failed to stop services...
StartStopMFeServices: return=0
ERROR! while stopping services.
Verisign Class 3 Public Primary Certification Authority - G5 (2036)
Oppure
Certificati Autorità di certificazione intermedi:
AddTrust External CA Root (2023)
COMODO RSA Code Signing CA (2028)
DigiCert SHA2 Assured ID Timestamping CA (2031)
GlobalSign (2028)
Codice GlobalSign firma di root R45 (2029)
GlobalSign CodeSigning CA - G3 (2024)
GlobalSign CodeSigning CA - SHA256 - G3 (2024)
GlobalSign GCC R45 codesigning CA 2020 (2030)
CA radice di GlobalSign (2021)
McAfee Code Signing CA 2 (2024)
McAfee OV SSL CA 2 (2024)
USERTrust RSA Certification Authority (2028)
Verisign Class 3 Code Signing 2010 CA (2020)
I file binari più recenti sono stati firmati con certificati SHA-256 aggiornati. Questi certificati di root sono necessari per convalidare le firme digitali. Microsoft distribuisce questi certificati come parte del Microsoft programma root affidabile.
I motivi per i certificati root mancanti includono, ma non sono limitati a quanto segue:
L'amministratore ha rimosso il certificato dal sistema.
Il sistema non dispone di connettività Internet, necessaria per eseguire AutoUpdate di root (aggiornamento automatico root).
Il gruppo policy in vigore impedisce l'aggiornamento del certificato root quando i valori del registro di sistema riportati di seguito sono impostati come segue:
HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate è impostato su 1.
HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate è impostato su 1.
Nota: Alcuni certificati root elencati sopra sono scaduti. I certificati di root sono necessari per la compatibilità con le versioni precedenti. I certificati scaduti che non sono stati revocati possono comunque essere utilizzati per convalidare qualsiasi operazione firmata prima della scadenza. Per ulteriori informazioni, consultare questo Microsoft articolo.
Soluzione
Utilizzare le soluzioni riportate di seguito per risolvere il problema del certificato mancante.
Fare clic per espandere la soluzione che si desidera visualizzare.
Importare i certificati necessari per convalidare le firme digitali. Dopo aver installato i certificati, verificare che il prodotto venga installato o potenziato correttamente.
Installare i certificati root mancanti nel negozio fisico autorità di certificazione root affidabile di terze parti :
AAA Certificate Services
AddTrust External CA Root
DigiCert Assured ID Root CA
GlobalSign, GlobalSign Code Signing Root R45, and GlobalSign Root CA
Microsoft Code Verification Root
USERTrust RSA Certification Authority
UTN-USERFirst-Object
Verisign Class 3 Public Primary Certification Authority - G5, and Verisign Universal Root Certification Authority)
Installare i certificati delle autorità di certificazione intermedie mancanti nel negozio di autorità di certificazione fisica intermedia :
AddTrust External CA Root
COMODO RSA Code Signing CA
DigiCert SHA2 Assured ID Timestamping CA
GlobalSign, GlobalSign Code Signing Root R45, GlobalSign CodeSigning CA - G3, GlobalSign CodeSigning CA - SHA256 - G3, GlobalSign GCC R45 CodeSigning CA 2020, and GlobalSign Root CA
McAfee Code Signing CA 2, McAfee OV SSL CA 2
Trust External CA Root
USERTrust RSA Certification Authority (2028)
Verisign Class 3 Code Signing 2010 CA)
Opzione 1-installare i certificati utilizzando il gruppo Active Directory (ad) Policy
Si consiglia di installare i certificati utilizzando il gruppo AD policy per un'ampia distribuzione. Per informazioni su come distribuire le modifiche al registro di sistema utilizzando policy di gruppo, consultare l'articolo Microsoft configurare una voce di registro.
Opzione 2-installare i certificati direttamente nel sistema
Se si dispone di un solo sistema o di pochi sistemi, è possibile utilizzare uno dei seguenti file ( .bat file o .reg file) per installare i certificati direttamente nel sistema. In alternativa, è possibile installare i certificati in modalità remota utilizzando un metodo di distribuzione amministrativa appropriato.
Per installare i certificati:
Scaricare il file 2022_Certificates.bat.txt nella sezione "allegato" di questo articolo. Rinominare il file 2022_Certificates.bat ed eseguirlo. Oppure
Scarica il file 2022_Certificates.reg.txtnella sezione "allegato" di questo articolo. Rinominare il file 2022_Certificates.reg e importarlo.
Opzione 3-installare i certificati utilizzando ePolicy Orchestrator (ePO)
Utilizzare il pacchetto CERTEEDK1000.zip del kit di distribuzione di ePO endpoint nella sezione "allegato" di questo articolo.
Risolvere il problema che impedisce l'aggiornamento automatico dei certificati root nel sistema.
Microsoft consente l'amministrazione di archivi di certificati root anche se diversi oggetti policy di gruppo e aggiornamenti automatici. L'amministrazione degli archivi di certificati non rientra nell'ambito di Assistenza tecnica.
Utilizzare la seguente soluzione Solo Se il gruppo policy impedisce l'aggiornamento del certificato root:
ATTENZIONE Questo articolo contiene informazioni sull'apertura o sulla modifica del registro di sistema.
Le informazioni riportate di seguito sono destinate agli amministratori di sistema. Le modifiche del registro di sistema sono irreversibili e possono causare errori di sistema se non effettuate in modo adeguato.
Non eseguire un file REG non indicato esplicitamente come file di importazione del registro autentico.
Modificare il valore del registro di sistema per HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate da 1 a 0.
NOTA:Se si sta apportando questa modifica utilizzando il gruppo Policy per la distribuzione estesa, l'oggetto Criteri di gruppo per questa impostazione si trova alla configurazione del computer, modelli amministrativi, sistema, Internet Communication Management,Internet Communication settingsDisattiva aggiornamento automatico certificati root. Modifica Turn off Automatic Root Certificates Update da attivata a disattivata.
Premere Windows + R, digitare regedit , quindi fare clic su OK.
Accedere a HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate .
Modificare il valore da 1 a 0.
Uscire dall'editor del registro di sistema.
Se presente, rispostare la chiave ProtectedRoots di registro, che si trova in HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\ProtectedRoots :
Premere Windows + R, digitare regedit , quindi fare clic su OK.
Accedere a HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root .
Fare clic con il pulsante destro del mouse su ProtectedRoots, fare clic su Esportae scegliere un percorso in cui salvare una copia di backup.
Fare clic con il pulsante destro del mouse su ProtectedRoots, scegliere Elimina, quindi fare clic su Sì quando richiesto.
Uscire dall'editor del registro di sistema.
Informazioni correlate
Per informazioni sull'utilizzo di certutil, consultare la pagina Web Microsoft.
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.