Solucionar problemas da lista de certificados raiz necessários para a instalação segura do ponto de extremidade no Windows

Opções de download

  • PDF     (267.0 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (105.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (99.8 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:6 de setembro de 2022
ID do documento:216943

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como verificar todas as autoridades de certificação instaladas quando a instalação do Advanced Malware Protection (AMP) falha devido a erros de certificado.

    Componentes Utilizados

    • Security Connector (antigo AMP para endpoints) 6.3.1 em diante
    • Windows 7 em diante

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Problema

    Se você tiver problemas com o AMP for Endpoints Connector for Windows, verifique os registros nesse local.

    C:\ProgramData\Cisco\AMP\immpro_install.log

    Se você vir esta mensagem ou uma semelhante.

    ERROR: Util::VerifyAll: signature verification failed : -2146762487 : A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
    Package could not be verified

    amp error

    Verifique se você tem todos os certificados RootCA necessários instalados.

    Solução

    Etapa 1. Abra o PowerShell com privilégios administrativos e execute o comando.

    Get-ChildItem -Path Cert:LocalMachine\Root

    O resultado mostra uma lista de certificados RootCA instalados armazenados em um computador.

    Etapa 2. Compare as impressões digitais obtidas na Etapa 1 com as listadas na Tabela 1, abaixo:

    Impressão digital Nome do assunto/Atributos
    3B1EFD3A66EA28B16697394703A72CA340A05BD5 CN=Microsoft Root Certificate Authority 2010, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
    D69B561148F01C77C54578C10926DF5B856976AD CN=GlobalSign, O=GlobalSign, OU=GlobalSign, CA Raiz de GlobalSign - R3
    D4DE20D05E66FC53FE1A50882C78DB2852CAE474 CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE
    D1EB23A46D17D68FD92564C2F1F1601764D8E349 CN=AAA Certificate Services, O=Comodo CA Limited, L=Salford, S=Greater Manchester, C=GB
    B1BC968BD4F49D622A89A81F2150152A41D829C CN=GlobalSign CA raiz, OU=CA raiz, O=GlobalSign nv-sa, C=BE
    AD7E1C28B064EF8F6003402014C3D0E3370EB58A OU=Autoridade de certificação Starfield Class 2, O="Starfield Technologies, Inc.", C=US
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436 CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
    742C3192E607E424EB4549542BE1BBC53E6174E2 OU=Autoridade pública de certificação primária classe 3, O="VeriSign, Inc.", C=US
    5FB7EE0633E259DBAD0C4C9AE6D38F1A61C7DC25 CN=DigiCert High Assurance EV Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
    4EB6D578499B1CCF5F581EAD56BE3D9B6744A5E5 CN=VeriSign Class 3 Public Primary Certification Authority - G5, OU="(c) 2006 VeriSign, Inc. - Somente para uso autorizado", OU=VeriSign Trust Network, O="VeriSign, Inc.", C=US
    2796BAE63F1801E277261BA0D77770028F20EEE4 OU=Autoridade de certificação Go Daddy Classe 2, O="The Go Daddy Group, Inc.", C=US
    0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 CN=DigiCert Assured ID Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
    DFB16CD4931C973A2037D3FC83A4D7D775D05E4 CN=DigiCert Trusted Root G4, OU=www.digicert.com, O=DigiCert Inc, C=US
    CA3AFBCF1240364B44B216208880483919937CF7 CN=QuoVadis Root CA 2, O=QuoVadis Limited, C=BM
    2B8F1B57330DBBA2D07A6C51F70EE90DDAB9AD8E CN=USERTrust RSA Certification Authority, O=The USERTRUST Network, L=Jersey City, S=New Jersey, C=US
    F40042E2E5F7E8EF8189FED15519AECE42C3BFA2 CN=Microsoft Identity Verification Root Certificate Authority 2020, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
    DF717EAA4AD94EC9558499602D48DE5FBCF03A25 CN=US, O=IdenTrust, CN=IdenTrust Commercial Root CA 1

    Tabela 1. Lista de certificados necessários para o Cisco Secure Connector.

    Etapa 3. Baixe os certificados que não estão presentes no armazenamento da máquina dos emissores no formato PEM.

    Dica: você pode pesquisar o certificado pela impressão digital na Internet. Eles definem exclusivamente o certificado.

    Etapa 4. Abra o console mmc no menu Iniciar.

    Etapa 5. Navegue até Arquivo > Adicionar/remover snap-in... > Certificados > Adicionar > Conta do computador > Avançar > Concluir > OK.

    Etapa 6. Abrir certificados em Autoridades de Certificação Raiz Confiáveis. Clique com o botão direito do mouse na pasta Certificados, selecione Todas as Tarefas > Importar... e siga o assistente para importar o certificado até que ele apareça na pasta Certificados.

    Passo 7. Repita a etapa 6 se tiver mais certificados para importar.

    Etapa 8. Após importar todos os certificados, verifique se a instalação do AMP for Endpoints Connector foi bem-sucedida. Se não estiver, verifique novamente os logs no arquivo immro_install.log.

    Histórico de revisões

    Revisão Data de publicação Comentários
    3.0
    06-Sep-2022
    Certificados necessários para mais de 7.5.3 endpoints atualizados
    2.0
    17-Jan-2022
    atualizou o título e a isenção de responsabilidade
    1.0
    23-Aug-2021
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Radek Olszowy
      Engenheiro do Cisco TAC
    • Editado por Yeraldin Sanchez
      Engenheiro do Cisco TAC
    • Editado por Pedro Medina
      Engenheiro de engajamento do cliente

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos