المقدمة
يوضح هذا المستند كيفية التحقق من جميع مراجع الشهادات التي تم تثبيتها عند فشل تثبيت نقطة نهاية آمنة بسبب أخطاء في الشهادة.
المكونات المستخدمة
- Security Connector (المعروف سابقا باسم AMP لنقاط النهاية)، الإصدار 6.3.1 وما بعده
- نظام التشغيل Windows 7 وما بعده
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
المشكلة
إذا واجهت مشاكل في Secure Endpoint Connector ل Windows، فتحقق من السجلات الموجودة ضمن هذا الموقع.
C:\ProgramData\Cisco\AMP\immpro_install.log
إذا رأيت هذا أو رسالة مماثلة.
ERROR: Util::VerifyAll: signature verification failed : -2146762487 : A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
Package could not be verified
تأكد من تثبيت كل شهادات RootCA الضرورية.
الحل
الخطوة 1. افتح PowerShell بامتيازات إدارية وقم بتشغيل الأمر.
Get-ChildItem -Path Cert:LocalMachine\Root
تعرض النتيجة قائمة بشهادات RootCA المثبتة المخزنة في الجهاز.
الخطوة 2. مقارنة بصمات الإبهام التي تم الحصول عليها على الخطوة 1 مع تلك المدرجة في الجدول 1، أدناه:
بصمة الإبهام |
اسم الموضوع / السمات |
3B1EFD3A66EA28B16697394703a72CA340A05BD5 |
CN=Microsoft Root Certificate Authority 2010، o=Microsoft Corporation، l=Redmond، s=واشنطن، c=us |
D69B56148F01C77C54578C10926DF5B856976AD |
CN=GlobalSign، O=GlobalSign، OU=GlobalSign Root CA - R3 |
D4DE20D05E66FC53FE1A50882C78DB2852CAE474 |
cn=Baltimore CyberTrust Root، ou=CyberTrust، o=Baltimore، c=ie |
D1EB23A46D17D68FD92564C2F1F1601764D8E349 |
CN=AAA Certificate Services، o=Comodo CA Limited، l=Salford، s=Greater Manchester، c=GB |
B1BC968BD4F49D622AA89A81f2150152A41d829c |
CN=GlobalSign Root CA، OU=Root CA، O=GlobalSign nv-sa، C=BE |
AD7E1C28B064EF8f6003402014c3D0E3370EB58A |
OU=Starfield Class 2 Certification Authority، o="Starfield Technologies، Inc."، C=US |
A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436 |
cn=DigiCert Global Root CA، ou=www.digicert.com، o=DigiCert Inc، c=us |
742C3192E607E424EB4549542BE1BBC53E6174E2 |
OU=CLASS 3 Public Primary Certificate Authority، O="VeriSign، Inc."، C=US |
5FB7EE0633E259DBAD0C4C9AE6D38F1A61C7DC25 |
CN=DigiCert High Assurance EV Root CA، ou=www.digicert.com، o=DigiCert Inc، c=us |
4EB6D578499B1CCF5F581EAD56BE3D9B6744A5E5 |
CN=VeriSign الفئة 3 سلطة الشهادات الأساسية العامة - G5، OU="(c) 2006 VeriSign، Inc. - للاستخدام المصرح به فقط"، OU=VeriSign Trust Network، O="VeriSign، Inc."، C=US |
2796BAE63F1801E27261BA0D7770028F20EEE4 |
OU=Go Daddy Class 2 Certification Authority، o="Go Daddy Group، Inc."، C=US |
0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 |
CN=DigiCert Secure ID Root CA، ou=www.digicert.com، o=DigiCert Inc، C=US |
DDFB16CD4931C973a2037d3FC83a4d7d775d05E4 |
cn=DigiCert Root G4، ou=www.digicert.com، o=DigiCert Inc، c=us |
CA3AFBCF1240364B44B2162088048391937CF7 |
cn=QuoVadis root ca 2، o=QuoVadis محدود، c=bm |
2B8F1B57330DBBA2D07A6C51F70EE90DDAB9AD8E |
cn=UserRust RSA Certification Authority، o=شبكة UserTrust، l=Jersey City، s=New Jersey، c=us |
F40042E2E5F7E8EF8189FED15519AECE42C3BFA2 |
CN=Microsoft Identity Verification Root Certificate Authority 2020، o=Microsoft Corporation، l=Redmond، s=واشنطن، c=us |
DF717EAA4AD94EC9558499602D48DE5FBCF03A25 |
CN=IdenTrust Commercial Root CA 1،O=IdenTrust،C=US |
الجدول 1. قائمة الشهادات المطلوبة ل Cisco Secure Connector.
الخطوة 3. تنزيل الشهادات غير الموجودة في مخزن الأجهزة من المصدرين بتنسيق PEM.
تلميح: يمكنك البحث في الشهادة عن طريق بصمة الإبهام على الإنترنت. إنهم يقومون بتعريف الشهادة بشكل فريد.
الخطوة 4. افتح وحدة تحكم MMC من القائمة "ابدأ".
الخطوة 5. انتقل إلى ملف > إضافة/إزالة الأداة الإضافية... > شهادات > إضافة > حساب الكمبيوتر > التالي > إنهاء > موافق.
الخطوة 6. افتح الشهادات تحت مراجع التصديق الجذر الموثوق فيها. انقر بزر الماوس الأيمن فوق مجلد الشهادات، ثم حدد كل المهام > إستيراد... واستمر في المعالج لاستيراد الشهادة حتى تظهر في المجلد الشهادات.
الخطوة 7. كرر الخطوة 6 إذا كان لديك المزيد من الشهادات لاستيرادها.
الخطوة 8. بعد إستيراد جميع الشهادات، تحقق من نجاح تثبيت AMP لموصل نقاط النهاية. إذا لم تكن كذلك، فتحقق مرة أخرى من الدخول إلى ملف impro_install.log.