Introduction
Este documento descreve as etapas para verificar todas as autoridades de certificado necessárias instaladas quando a proteção avançada contra malware (AMP) para endpoints para Windows falha devido a um erro de certificado.
Contribuído por Radek Olszowy e editado por Yeraldin Sanchez Engenheiros do TAC da Cisco
Componentes Utilizados
- Conector de segurança (anteriormente AMP para endpoints) 6.3.1 a partir de
- Windows 7 em diante
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Problema
Se você tiver problemas com o AMP for Endpoints Connector for Windows, verifique os registros neste local.
C:\ProgramData\Cisco\AMP\immpro_install.log
Se você vir essa mensagem ou uma mensagem semelhante.
ERROR: Util::VerifyAll: signature verification failed : -2146762487 : A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
Verifique se todos os certificados necessários estão instalados.
Solução
Etapa 1. Abra o PowerShell com privilégios administrativos e execute o comando.
PS C:\Users\Administrator> Get-ChildItem -Path Cert:LocalMachine\Root
Você obtém uma lista de certificados instalados armazenados em um repositório de máquinas.
Etapa 2. Compare as impressões digitais da etapa 1 com a tabela 1.
Tabela 1. Lista de certificados obrigatórios para o Conector do Windows AMP para Endpoints.
Impressão digital |
Nome do assunto |
0563b8630d62d75abbc8ab1e4bdfb5a899b24d43 |
C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Assured ID Root CA |
4eb6d578499b1ccf5f581ead56be3d9b6744a5e5 |
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 2006 VeriSign, Inc. - Para uso autorizado apenas, CN=VeriSign Public Primary Certification Authority - G5 |
5fb7ee0633e259dbad0c9ae6d38f1a61c7dc25 |
C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert High Assurance EV Root CA |
3b1efd3a66ea28b16697394703a72ca340a05bd5 |
C=EUA, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Root Certificate Authority 2010 |
8f43288ad272f3103b6fb1428485ea3014c0bcfe |
C=EUA, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Root Certificate Authority 2011 |
a8985d3a65e5e4b2d7d66d40c6dd2fb19c5436 |
C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CA |
91c6d6ee3e8ac86384e548c299295c756c817b81 |
C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. - Para uso autorizado apenas, CN=thawte Primary Root CA |
31f9fc8ba3805986b721ea7295c65b3a44534274 |
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft ECC TS Root Certificate Authority 2018 |
75e0abb6138512271c04f85fdde38e4b7242efe |
OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSign |
06f1aa330b927b753a40e68cdf22e34bcbef3352 |
C=EUA, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft ECC Product Root Certificate Authority 2018 |
92b46c76e13054e104f230517e6e504d43ab10b5 |
C=EUA, O=Symantec Corporation, CN=Symantec Enterprise Mobile Root para Microsoft |
2b8f1b57330dbba2d07a6c51f70ee90ddab9ad8e |
C=US, ST=New Jersey, L=Jersey City, O=USERTRUST Network, CN=USERTrust RSA Certification Authority |
df717eaa4ad94ec9558499602d48de5fbcf03a25 |
C=EUA, O=IdenTrust, CN=IdenTrust Commercial Root CA 1
|
ddfb16cd4931c973a2037d3fc83a4d7d775d05e4 |
C = EUA, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Trusted Root G4
|
Etapa 3. Faça o download dos certificados que não estão presentes na loja de máquinas dos emissores no formato PEM.
Tip: Você pode pesquisar o certificado pela impressão digital na Internet. Eles definem unicamente o certificado.
Etapa 4. Abra o console mmc no menu Iniciar.
Etapa 5. Navegue até Arquivo > Adicionar/remover snap-in... > Certificados > Adicionar > Conta do Computador > Avançar > Concluir > OK.
Etapa 6. Abrir certificados em Autoridades de Certificação de Raiz Confiáveis. Clique com o botão direito do mouse na pasta Certificados e selecione Todas as Tarefas > Importar... e siga o assistente para importar o certificado até que ele seja exibido na pasta Certificados.
Passo 7. Repita a etapa 6 se você tiver mais certificados para importar.
Etapa 8. Depois de importar todos os certificados, verifique se a instalação do AMP for Endpoints Connector foi bem-sucedida. Se não estiver, verifique novamente o login no arquivo impro_install.log.