在Windows上安装安全终端所需的根证书列表故障排除

下载选项

  • PDF     (345.5 KB)
    在各种设备上使用 Adobe Reader 查看
已更新: 2025 年 6 月 16 日
文档 ID:216943

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何检查安全终端安装由于证书错误而失败时安装的所有证书颁发机构。

    使用的组件

    • 安全连接器(以前称为面向终端的AMP)7.5.17或更高版本
    • 从Windows 10开始

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    问题

    如果您遇到Secure Endpoint Connector for Windows的问题,请检查此位置下的日志。

    C:\ProgramData\Cisco\AMP\immpro_install.log

    如果您看到此消息或类似的消息。

    ERROR: Util::VerifyAll: signature verification failed : -2146762487 : A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
    Package could not be verified

    amp error

    确保已安装所有必要的RootCA证书。

    解决方案

    步骤1.使用管理权限打开PowerShell并运行命令。

    Get-ChildItem -Path Cert:LocalMachine\Root

    结果显示计算机上存储的已安装RootCA证书的列表。

    步骤2.将步骤1中获得的指纹与下表1中列出的指纹进行比较:

    指纹 主题名称/属性
    3B1EFD3A66EA28B16697394703A72CA340A05BD5 CN=Microsoft Root Certificate Authority 2010, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
    B1BC968BD4F49D622AA89A81F2150152A41D829C CN=GlobalSign Root CA, OU=Root CA, O=GlobalSign nv-sa, C=BE
    AD7E1C28B064EF8F6003402014C3D0E3370EB58A OU=Starfield Class 2 Certification Authority, O="Starfield Technologies, Inc.", C=US
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436 CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
    742C3192E607E424EB4549542BE1BBC53E6174E2 OU=Class 3 Public Primary Certification Authority, O="VeriSign, Inc.", C=US
    5FB7EE0633E259DBAD0C4C9AE6D38F1A61C7DC25 CN=DigiCert High Assurance EV Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
    4EB6D578499B1CCF5F581EAD56BE3D9B6744A5E5 CN=VeriSign Class 3 Public Primary Certification Authority - G5, OU="(c) 2006 VeriSign, Inc. - For authorized use only", OU=VeriSign Trust Network, O="VeriSign, Inc.", C=US
    2796BAE63F1801E277261BA0D77770028F20EEE4 OU=Go Daddy Class 2 Certification Authority, O="The Go Daddy Group, Inc.", C=US
    0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 CN=DigiCert Assured ID Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
    DDFB16CD4931C973A2037D3FC83A4D7D775D05E4 CN=DigiCert Trusted Root G4, OU=www.digicert.com, O=DigiCert Inc, C=US
    DF717EAA4AD94EC9558499602D48DE5FBCF03A25 CN=IdenTrust Commercial Root CA 1,O=IdenTrust,C=US
    F40042E2E5F7E8EF8189FED15519AECE42C3BFA2 CN=Microsoft Identity Verification Root Certificate Authority 2020, O=Microsoft Corporation, L=Redmond, S=Washington, C=US

    表1. Cisco Secure Connector所需的证书列表。

    步骤3.从发行者处以PEM格式下载计算机存储中不存在的证书。

    提示:您可以通过internet上的指纹搜索证书。它们唯一地定义证书。

    步骤4.从“开始”菜单打开mmc控制台。

    第5步:导航到文件>添加/删除管理单元…… >证书>添加>计算机帐户>下一步>完成>确定

    步骤6.在受信任的根证书颁发机构下打开证书。右键单击Certificates文件夹,然后选择All Tasks > Import...并继续向导以导入证书,直到证书出现在Certificates文件夹中。

    步骤7.如果要导入更多证书,请重复步骤6。

    步骤8.导入所有证书后,检查面向终端的AMP连接器安装是否成功。如果不是,请再次检查immpro_install.log文件中的日志。

    修订历史记录

    版本 发布日期 备注
    4.0
    16-Jun-2025
    删除未使用的证书
    3.0
    06-Sep-2022
    更新了7.5.3+终端所需的证书
    2.0
    17-Jan-2022
    已更新标题和免责声明
    1.0
    23-Aug-2021
    初始版本
    TAC Authored

    由思科工程师提供

    • 拉德克·奥尔斯佐维
      思科ATS技术领导者

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品