ビュー:

Apex One、Apex One SaaS および SEP はデジタル署名の認証機能を実装しています。

Windows OS がデジタル署名の認証に使用するルート証明書や中間証明書は、インターネット接続による通信でインストールします。しかしながら、通信制御がおこなわれている環境などでは端末が持つ証明書が足りないなどの理由により Windows OS がデジタル署名の認証に失敗することがございます。

この製品 Q&A では、デジタル署名の認証に使用する証明書が不足する場合に発生する事例と対処方法について説明いたします。
通信制御がおこなわれている環境でご利用の場合、修正プログラム適用時などに必要な証明書が更新されていないか、定期的に本ページをご確認頂くことを推奨します。

トレンドマイクロでは、Microsoft 社からの要請に基づき、2023年2月中旬より Azure Code Signing (ACS) を使用して各製品モジュールの署名をおこないます。
Apex OneはCritical Patch (ビルド 12011) 以降、 Apex One SaaSは2023年1月定期メンテナンス以降、ACSを使用してモジュールの署名をおこないます。 Azure Code Signing (ACS) の条件を満たすために、対応いただきたい事項について以下製品Q&Aも併せてご確認ください。

発生する事象の例

セキュリティエージェントのインストールに失敗する。
セキュリティエージェントのサービス起動に失敗する。
セキュリティエージェントのバージョンアップに失敗する。
セキュリティエージェントのコンポーネント更新に失敗する。
セキュリティエージェントに設定を配信できない
Windowsイベントログに「ダウンロードされた1つ以上のファイルに有効なデジタル署名が含まれていませんでした」というエラーメッセージが出力される。
Web管理コンソール上にセキュリティエージェントが表示されない。
Web管理コンソール上にセキュリティエージェントの検出ログが表示されない。
Web管理コンソールに表示されるセキュリティエージェントのコンポーネント番号が正常に更新されない。
Apex One サーバのバージョンアップに失敗する。

対処方法

方法1：EasyFixツールを使用して証明書をインストールする

EasyFixツールはApex Oneサーバ・セキュリティエージェント、Apex One SaaSセキュリティエージェントおよび SEPがインストールされている環境とインストールされていない環境で実行して証明書をインストールすることができます。

以下の製品 Q&A にアクセスします。
◆ Resolving certificate-related issues in Trend Micro Apex One
"Option 1:Use the EasyFix Tool"の手順1の"EasyFix for System Certificates tool" のリンクをクリックし、EasyFixツールをダウンロードします。
ツールのご利用にあたっては下記サイトの「Free Tools Terms and Conditions」に同意のうえご利用ください。
◆ Legal Policies and Agreements - Product Agreements
ダウンロードしたEasyFixツールを証明書をインストールする端末上の任意の場所に解凍して配置します。
(解凍時のパスワードは trend です)
コマンドプロンプト (cmd.exe) を管理者として実行します。
手順3で配置した任意の場所に移動し、以下のコマンドを実行します。
EasyFixSysCerts.exe▲A1
※ ▲ は半角スペースを示します
以上で操作は終わりです。必要なルート証明書や中間証明書がなかった場合は、バックグラウンドで自動的にインストールされます。
Apex Oneサーバがインストールされている環境に証明書をインストールした場合は、「ファイルのリネーム」の手順を実施してください。

[EasyFixツール実行結果を確認する方法]

EasyFixツールの実行結果を確認されたい場合は、手順 3 で配置した任意の場所の\Log フォルダ内に作成される SCPeasyFix.txt ファイルに記録されている処理の最後を確認してください。
”Fixing result is True” の文字列が確認できれば、ツールの処理はすべて成功しています。
既に必要な証明書を端末が持っている場合は、"No missing system certificate" の文字列が確認できます。

方法2：手動で証明書をインストールする

手順に掲載している全ての証明書をインストールしてください。
証明書のインストール手順について不明点がある場合は、恐れ入りますがマイクロソフト社へお問い合わせください。

[証明書更新履歴]

2023/04/05	Azure Code Signing についての注意書きをトップに追記
2023/03/02	DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1 を追記 (Build 9675)
2022/10/05	thawte Primary Root CA および GlobalSign を追加 (Build 11110)
2022/07/12	Microsoft Identity Verification Root Certificate Authority 2020 を追加

インターネット接続が可能な Windows端末で中間証明書ファイルをダウンロードします。

証明書名	入手場所
DigiCertEVCodeSigningCA-SHA2.crt	「Intermediate Certificates」配下の「DigiCert EV Code Signing CA (SHA2)」欄の「Download DER/CRT」より入手可能
DigiCertEVCodeSigningCA.crt	「Intermediate Certificates」配下の「DigiCert EV Code Signing CA」欄の「Download DER/CRT」より入手可能
DigiCertHighAssuranceCodeSigningCA-1.crt	「Intermediate Certificates」配下の「DigiCert High Assurance Code Signing CA-1」欄の「Download DER/CRT」より入手可能
DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt	「Intermediate Certificates」配下の「DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1」欄の「Download DER/CRT」より入手可能
Symantec Class 3 SHA256 Code Signing CA (任意の名称)	ページ下部の「-----BEGIN CERTIFICATE-----」を含む行から「-----END CERTIFICATE-----」を含む行までをテキストエディタにコピー&ペーストし、拡張子 .crt で保存することで入手可能

現在サポート中のバージョン・ビルドにおいては、これまで記載のあった「COMODOCodeSigningCA2.crt」や「UTNAddTrustObject_CA.crt」は不要となるため、記載を削除しました。

インターネット接続が可能な Windows端末でWindows Update サイトにあるルート証明書情報を同期してファイルを取得します。

証明書ファイルを保存するフォルダを作成します。
作成例：c:\cert-files
コマンドプロンプト (cmd.exe) を管理者として実行します。
下記コマンドを実行します。
CertUtil▲-syncWithWU▲＜証明書ファイル保存パス＞
※ ▲ は半角スペースを示します
実行例：CertUtil -syncWithWU c:\cert-files

証明書ファイルを保存したフォルダから、以下のファイルを取得します。

証明書名	ファイル名
VeriSign Class 3 Public Primary Certification Authority - G5	4eb6d578499b1ccf5f581ead56be3d9b6744a5e5.crt
VeriSign Universal Root Certification Authority	3679ca35668772304d30a5fb873b0fa77bb70d54.crt
Thawte Timestamping CA	be36a4562fb2ee05dbb3d32323adf445084ed656.crt
Microsoft Root Certificate Authority 2010	3b1efd3a66ea28b16697394703a72ca340a05bd5.crt
AddTrust External CA Root	02faf3e291435468607857694df5e45b68851868.crt
UTN-USERFirst-Object	e12dfb4b41d7d9c32b30514bac1d81d8385e2d46.crt
DigiCert High Assurance EV Root CA	5fb7ee0633e259dbad0c4c9ae6d38f1a61c7dc25.crt
DigiCert Assured ID Root CA	0563b8630d62d75abbc8ab1e4bdfb5a899b24d43.crt
USERTrust RSA Certification Authority	2b8f1b57330dbba2d07a6c51f70ee90ddab9ad8e.crt
DigiCert Trusted Root G4	ddfb16cd4931c973a2037d3fc83a4d7d775d05e4.crt
Microsoft Identity Verification Root Certificate Authority 2020	f40042e2e5f7e8ef8189fed15519aece42c3bfa2.crt
thawte Primary Root CA	91c6d6ee3e8ac86384e548c299295c756c817b81.crt
GlobalSign	d69b561148f01c77c54578c10926df5b856976ad.crt

手順 1 と手順 2 で取得した証明書のファイルをインストールする端末の任意パスに保存します。
各証明書のファイルをダブルクリックします。
【証明書のインストール】ボタンを押して、「ローカルコンピュータ」を選択します。
【次へ】をクリックします。
証明書ストアで「証明書をすべて次のストアに配置する」を選択し、【参照】ボタンをクリックします。
表示された「証明書ストアの選択」の画面で、「物理ストアを表示する」にチェックを入れます。
- 手順2でダウンロードした中間証明書をインストールする時は、[中間証明機関] → [ローカルコンピュータ] を選択します。
- 手順3でダウンロードしたルート証明書をインストールする時は、[信頼されたルート証明機関] → [ローカルコンピュータ] を選択します。
【次へ】をクリックします。
【完了】をクリックします。
すべての証明書のファイルを上記の手順4 から手順10 までを実施してインストールしてください。
Apex Oneサーバがインストールされている環境に証明書をインストールした場合は、すべての証明書をインストールした後に「ファイルのリネーム」の手順を実施してください。

ファイルのリネーム

証明書をインストールした後に、Apex Oneサーバのインストールフォルダ配下に「_Invalid」を含む名称のファイルの有無を確認します。
ファイル名の末尾が「_Invalid」のファイルがある場合は、以下の手順を実施します。

エクスプローラを開き、Apex Oneサーバのインストールフォルダに移動します。
初期設定でインストールフォルダは、以下の通りになります
64 bitの場合：C:\Program Files (x86)\Trend Micro\OfficeScan
エクスプローラ右上の検索窓に、"_Invalid"を入力し、検索します。
ファイル名の末尾に「*_Invalid 」とついているファイルがある場合、「_Invalid」を削除した上で当該ファイルをすべて元の名前にリネームします。

「invalid.gif」 というファイルはもともと存在しますので、消さないでください。
「config_invalid_rendering_class.xml」「config_invalid_syntax.php」などの xml、php、ini ファイルはもともと存在しますので、消さないでください。
Apex One ビルド 9565以降のサーバには、ファイル検証に必要な証明書が OS へ追加された後に検証機会が発生すると、ファイル名末尾に「_Invalid」がついているファイルを元の名前へリネームする機能が追加されております。

キーワード: Apex One,Apex One SaaS,SEP,デジタル署名,証明書,ルート証明書,中間証明書,インストールできない,アップデートできない,更新できない,配信できない,インストール失敗,アップデート失敗,更新失敗,配信失敗,エラー

デジタル署名の認証に使用する証明書が不足することにより発生する問題とその対処方法について：Trend Micro Apex One, Trend Micro Apex One SaaS, Trend Vision One Endpoint Security - Standard Endpoint Protection

製品・バージョン:

Apex One as a Service 2019 , Trend Vision One All , Apex One 2019 , Apex One as a Service All , Apex One All

更新日: 2025/07/08

記事ID: KA-0001268

カテゴリ: SPEC , Troubleshoot

概要

Trend Micro Apex One (以下、Apex One)、Trend Micro Apex One SaaS (以下、Apex One SaaS) および Trend Vision One Endpoint Security - Standard Endpoint Protection (以下、SEP) を導入した端末において、デジタル署名の認証に使用する証明書が不足することにより発生する問題とその対処方法について教えてください。

発生する事象の例

セキュリティエージェントのインストールに失敗する。
セキュリティエージェントのサービス起動に失敗する。
セキュリティエージェントのバージョンアップに失敗する。
セキュリティエージェントのコンポーネント更新に失敗する。
セキュリティエージェントに設定を配信できない
Windowsイベントログに「ダウンロードされた1つ以上のファイルに有効なデジタル署名が含まれていませんでした」というエラーメッセージが出力される。
Web管理コンソール上にセキュリティエージェントが表示されない。
Web管理コンソール上にセキュリティエージェントの検出ログが表示されない。
Web管理コンソールに表示されるセキュリティエージェントのコンポーネント番号が正常に更新されない。
Apex One サーバのバージョンアップに失敗する。

対処方法

方法1：EasyFixツールを使用して証明書をインストールする

以下の製品 Q&A にアクセスします。
◆ Resolving certificate-related issues in Trend Micro Apex One
"Option 1:Use the EasyFix Tool"の手順1の"EasyFix for System Certificates tool" のリンクをクリックし、EasyFixツールをダウンロードします。
ツールのご利用にあたっては下記サイトの「Free Tools Terms and Conditions」に同意のうえご利用ください。
◆ Legal Policies and Agreements - Product Agreements
ダウンロードしたEasyFixツールを証明書をインストールする端末上の任意の場所に解凍して配置します。
(解凍時のパスワードは trend です)
コマンドプロンプト (cmd.exe) を管理者として実行します。
手順3で配置した任意の場所に移動し、以下のコマンドを実行します。
EasyFixSysCerts.exe▲A1
※ ▲ は半角スペースを示します
以上で操作は終わりです。必要なルート証明書や中間証明書がなかった場合は、バックグラウンドで自動的にインストールされます。
Apex Oneサーバがインストールされている環境に証明書をインストールした場合は、「ファイルのリネーム」の手順を実施してください。

[EasyFixツール実行結果を確認する方法]

方法2：手動で証明書をインストールする

2023/04/05	Azure Code Signing についての注意書きをトップに追記
2023/03/02	DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1 を追記 (Build 9675)
2022/10/05	thawte Primary Root CA および GlobalSign を追加 (Build 11110)
2022/07/12	Microsoft Identity Verification Root Certificate Authority 2020 を追加

インターネット接続が可能な Windows端末で中間証明書ファイルをダウンロードします。

証明書名	入手場所
DigiCertEVCodeSigningCA-SHA2.crt	「Intermediate Certificates」配下の「DigiCert EV Code Signing CA (SHA2)」欄の「Download DER/CRT」より入手可能
DigiCertEVCodeSigningCA.crt	「Intermediate Certificates」配下の「DigiCert EV Code Signing CA」欄の「Download DER/CRT」より入手可能
DigiCertHighAssuranceCodeSigningCA-1.crt	「Intermediate Certificates」配下の「DigiCert High Assurance Code Signing CA-1」欄の「Download DER/CRT」より入手可能
DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt	「Intermediate Certificates」配下の「DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1」欄の「Download DER/CRT」より入手可能
Symantec Class 3 SHA256 Code Signing CA (任意の名称)	ページ下部の「-----BEGIN CERTIFICATE-----」を含む行から「-----END CERTIFICATE-----」を含む行までをテキストエディタにコピー&ペーストし、拡張子 .crt で保存することで入手可能

インターネット接続が可能な Windows端末でWindows Update サイトにあるルート証明書情報を同期してファイルを取得します。

証明書ファイルを保存するフォルダを作成します。
作成例：c:\cert-files
コマンドプロンプト (cmd.exe) を管理者として実行します。
下記コマンドを実行します。
CertUtil▲-syncWithWU▲＜証明書ファイル保存パス＞
※ ▲ は半角スペースを示します
実行例：CertUtil -syncWithWU c:\cert-files

証明書ファイルを保存したフォルダから、以下のファイルを取得します。

証明書名	ファイル名
VeriSign Class 3 Public Primary Certification Authority - G5	4eb6d578499b1ccf5f581ead56be3d9b6744a5e5.crt
VeriSign Universal Root Certification Authority	3679ca35668772304d30a5fb873b0fa77bb70d54.crt
Thawte Timestamping CA	be36a4562fb2ee05dbb3d32323adf445084ed656.crt
Microsoft Root Certificate Authority 2010	3b1efd3a66ea28b16697394703a72ca340a05bd5.crt
AddTrust External CA Root	02faf3e291435468607857694df5e45b68851868.crt
UTN-USERFirst-Object	e12dfb4b41d7d9c32b30514bac1d81d8385e2d46.crt
DigiCert High Assurance EV Root CA	5fb7ee0633e259dbad0c4c9ae6d38f1a61c7dc25.crt
DigiCert Assured ID Root CA	0563b8630d62d75abbc8ab1e4bdfb5a899b24d43.crt
USERTrust RSA Certification Authority	2b8f1b57330dbba2d07a6c51f70ee90ddab9ad8e.crt
DigiCert Trusted Root G4	ddfb16cd4931c973a2037d3fc83a4d7d775d05e4.crt
Microsoft Identity Verification Root Certificate Authority 2020	f40042e2e5f7e8ef8189fed15519aece42c3bfa2.crt
thawte Primary Root CA	91c6d6ee3e8ac86384e548c299295c756c817b81.crt
GlobalSign	d69b561148f01c77c54578c10926df5b856976ad.crt

手順 1 と手順 2 で取得した証明書のファイルをインストールする端末の任意パスに保存します。
各証明書のファイルをダブルクリックします。
【証明書のインストール】ボタンを押して、「ローカルコンピュータ」を選択します。
【次へ】をクリックします。
証明書ストアで「証明書をすべて次のストアに配置する」を選択し、【参照】ボタンをクリックします。
表示された「証明書ストアの選択」の画面で、「物理ストアを表示する」にチェックを入れます。
- 手順2でダウンロードした中間証明書をインストールする時は、[中間証明機関] → [ローカルコンピュータ] を選択します。
- 手順3でダウンロードしたルート証明書をインストールする時は、[信頼されたルート証明機関] → [ローカルコンピュータ] を選択します。
【次へ】をクリックします。
【完了】をクリックします。
すべての証明書のファイルを上記の手順4 から手順10 までを実施してインストールしてください。
Apex Oneサーバがインストールされている環境に証明書をインストールした場合は、すべての証明書をインストールした後に「ファイルのリネーム」の手順を実施してください。

ファイルのリネーム

エクスプローラを開き、Apex Oneサーバのインストールフォルダに移動します。
初期設定でインストールフォルダは、以下の通りになります
64 bitの場合：C:\Program Files (x86)\Trend Micro\OfficeScan
エクスプローラ右上の検索窓に、"_Invalid"を入力し、検索します。
ファイル名の末尾に「*_Invalid 」とついているファイルがある場合、「_Invalid」を削除した上で当該ファイルをすべて元の名前にリネームします。

「invalid.gif」 というファイルはもともと存在しますので、消さないでください。
「config_invalid_rendering_class.xml」「config_invalid_syntax.php」などの xml、php、ini ファイルはもともと存在しますので、消さないでください。
Apex One ビルド 9565以降のサーバには、ファイル検証に必要な証明書が OS へ追加された後に検証機会が発生すると、ファイル名末尾に「_Invalid」がついているファイルを元の名前へリネームする機能が追加されております。

この記事は役に立ちましたか？

Featured

オートメーションセンター

Education Portal

Online Help Center

サービスステータスポータル

デジタル署名の認証に使用する証明書が不足することにより発生する問題とその対処方法について：Trend Micro Apex One, Trend Micro Apex One SaaS, Trend Vision One Endpoint Security - Standard Endpoint Protection

発生する事象の例

対処方法

方法1：EasyFixツールを使用して証明書をインストールする

[EasyFixツール実行結果を確認する方法]

方法2：手動で証明書をインストールする

ファイルのリネーム

デジタル署名の認証に使用する証明書が不足することにより発生する問題とその対処方法について：Trend Micro Apex One, Trend Micro Apex One SaaS, Trend Vision One Endpoint Security - Standard Endpoint Protection

製品・バージョン:

概要

発生する事象の例

対処方法

方法1：EasyFixツールを使用して証明書をインストールする

[EasyFixツール実行結果を確認する方法]

方法2：手動で証明書をインストールする

ファイルのリネーム