Einleitung
Dieses Dokument beschreibt die Schritte zur Überprüfung aller erforderlichen Zertifizierungsstellen, die installiert sind, wenn Advanced Malware Protection (AMP) für Endgeräte für die Windows-Installation aufgrund eines Zertifikatsfehlers fehlschlägt.
Verfasst von Radek Olszowy und herausgegeben von Yeraldin Sanchez Cisco TAC Engineers
Verwendete Komponenten
- Security Connector (ehemals AMP für Endgeräte) 6.3.1 ab
- Ab Windows 7
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Problem
Wenn Probleme mit AMP für Endpoints-Connector für Windows auftreten, überprüfen Sie die Protokolle unter diesem Speicherort.
C:\ProgramData\Cisco\AMP\immpro_install.log
Wenn Sie diese oder eine ähnliche Meldung sehen.
ERROR: Util::VerifyAll: signature verification failed : -2146762487 : A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
Stellen Sie sicher, dass alle erforderlichen Zertifikate installiert sind.
Lösung
Schritt 1: Öffnen Sie PowerShell mit Administratorberechtigungen, und führen Sie den Befehl aus.
PS C:\Users\Administrator> Get-ChildItem -Path Cert:LocalMachine\Root
Sie erhalten eine Liste der installierten Zertifikate, die in einem Computerspeicher gespeichert sind.
Schritt 2: Vergleichen Sie die Daumenabdrücke aus Schritt 1 mit Tabelle 1.
Tabelle 1: Liste der erforderlichen Zertifikate für Windows AMP für Endpoints-Connector.
Daumenabdruck |
Betreffname |
0563b8630d62d75abbc8ab1e4bdfb5a899b24d43 |
C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Assured ID Root CA |
4eb6d578499b1ccf5f581ead56be3d9b6744a5e5 |
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 2006 VeriSign, Inc. - Nur zur autorisierten Verwendung, CN=VeriSign Class 3 Public Primary Certification Authority - G5 |
5fb7ee0633e259dbad0c4c9ae6d38f1a61c7dc25 |
C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert High Assurance EV Root CA |
3b1efd3a66ea28b16697394703a72ca340a05bd5 |
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Root Certificate Authority 2010 |
8f43288ad272f3103b6fb1428485ea3014c0bcfe |
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Root Certificate Authority 2011 |
a8985d3a65e5e5c4b2d7d40c6dd2fb19c5436 |
C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CA |
91c6d6ee3e8ac86384e548c299295c756c817b81 |
C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. - Nur zur autorisierten Verwendung, CN=thawte Primary Root CA |
31f9fc8ba3805986b721ea7295c65b3a44534274 |
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft ECC TS Root Certificate Authority 2018 |
75e0abb6138512271c04f85fddde38e4b7242efe |
OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSign |
06f1aa330b927b753a40e68cdf22e34bcbef3352 |
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft ECC Product Root Certificate Authority 2018 |
92b46c76e13054e104f230517e6e504d43ab10b5 |
C=US, O=Symantec Corporation, CN=Symantec Enterprise Mobile Root for Microsoft |
2b8f1b57330dbba2d07a6c51f70ee90ddab9ad8e |
C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority |
df717eaa4ad94ec9558499602d48de5fbcf03a25 |
C=US, O=IdenTrust, CN=IdenTrust Commercial Root CA 1
|
ddfb16cd4931c973a2037d3fc83a4d7d775d05e4 |
C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Trusted Root G4
|
Schritt 3: Laden Sie Zertifikate, die nicht im Computerspeicher vorhanden sind, von den Emittenten im PEM-Format herunter.
Tipp: Sie können das Zertifikat über den Daumenabdruck im Internet durchsuchen. Sie definieren das Zertifikat eindeutig.
Schritt 4: Öffnen Sie die mmc-Konsole im Startmenü.
Schritt 5: Navigieren Sie zu Datei > Snap-In hinzufügen/entfernen... > Zertifikate > Hinzufügen > Computerkonto > Weiter > Fertig stellen > OK.
Schritt 6: Öffnen Sie Zertifikate unter Vertrauenswürdige Stammzertifizierungsstellen. Klicken Sie mit der rechten Maustaste auf den Ordner Zertifikate, und wählen Sie dann Alle Tasks > Importieren... und befolgen Sie den Assistenten, um das Zertifikat zu importieren, bis es im Ordner Certificates (Zertifikate) angezeigt wird.
Schritt 7: Wiederholen Sie Schritt 6, wenn Sie mehr Zertifikate importieren möchten.
Schritt 8: Nachdem Sie alle Zertifikate importiert haben, überprüfen Sie, ob die Installation von AMP für Endpoints Connector erfolgreich war. Ist dies nicht der Fall, überprüfen Sie erneut die Anmeldungen in der Datei immpro_install.log.