趨勢科技產品在之後的版本中,為確保程式安全性有進一步增強了在程式更新時的憑證檢查機制。請參閱以下文章以獲取更多資訊: 強化Apex one/Officescan 的數位簽章檢查功能。
這些問題會發生在安裝在 Windows 環境上的 Apex One,且設備無法正常對外上網下載憑證做更新的時候。這些憑證對用戶端與防毒主機本身是必要的。
要解決此問題,請執行以下步驟:
- 下載 EasyFix for System Certificates tool。
- 將所有檔案解壓縮(密碼:trend)到臨時資料夾(例如:C:\EasyFixTool)
- 以系統管理員的權限執行命令提示字元
- 將路徑切換到包含EasyFixSysCerts.exe的資料夾
- 執行以下命令:
- 檢查並匯入 Trend Micro Apex One 缺少的憑證
- EasyFixSysCerts.exe A1
- 檢查並匯入 Trend Micro Vision One 缺少的憑證
- EasyFixSysCerts.exe V1
- 檢查並匯入 Trend Micro Apex One 缺少的憑證
該工具會靜默執行。要驗證匯入結果,請執行以下步驟:
- 在執行 EasyFixSysCerts.exe 的資料夾中,打開\Log\SCPeasyFix.txt檔案。
- 拉至日誌的底部,並檢查以下內容:
- Fixing result is True – 執行成功
- Fixing result is False – 執行失敗
- 透過以下連結下載根憑證(rootcertificates)與中繼憑證(intermediate certificates):
- DigiCert Assured ID Root CA (SHA256 Fingerprint: 3E:90:99:B5:01:5E:8F:48:6C:00:BC:EA:9D:11:1E:E7:21:FA:BA:35:5A:89:BC:F1:DF:69:56:1E:3D:C6:32:5C)
- DigiCert High Assurance EV Root CA (SHA256 Fingerprint: 74:31:E5:F4:C3:C1:CE:46:90:77:4F:0B:61:E0:54:40:88:3B:A9:A0:1E:D0:0B:A6:AB:D7:80:6E:D3:B1:18:CF)
- DigiCert Trusted Root G4 (SHA256 Fingerprint: 55:2F:7B:DC:F1:A7:AF:9E:6C:E6:72:01:7F:4F:12:AB:F7:72:40:C7:8E:76:1A:C2:03:D1:D9:D2:0A:C8:99:88)
- Microsoft Identity Verification Root Certificate Authority 2020 (SHA-1 Thumbprint: f40042e2e5f7e8ef8189fed15519aece42c3bfa2)
- VeriSign Class 3 Public Primary Certification Authority - G5 (SHA-1 Thumbprint: 4E B6 D5 78 49 9B 1C CF 5F 58 1E AD 56 BE 3D 9B 67 44 A5 E5)
- VeriSign Universal Root Certification Authority (SHA-1 Thumbprint: 36 79 CA 35 66 87 72 30 4D 30 A5 FB 87 3B 0F A7 7B B7 0D 54)
- DigiCert EV Code Signing CA (SHA2) (SHA256 Fingerprint: C7:46:0B:0E:DD:A1:B4:4C:8E:21:64:B2:34:EB:EC:C3:96:2A:6A:37:A9:36:B7:4A:6E:7D:46:68:29:38:F0:84)
- DigiCert EV Code Signing CA (SHA256 Fingerprint: 37:63:77:FD:1F:AF:4B:8A:5B:14:72:64:7A:70:B9:41:03:9A:62:D7:4C:FE:99:44:7E:48:61:6F:8D:63:A9:78)
- DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1 (SHA256 Fingerprint: 46:01:1E:de:1C:14:7E:B2:BC:73:1A:53:9B:7C:04:7B:7E:E9:3E:48:B9:D3:C3:BA:71:0C:E1:32:BB:DF:AC:6B)
- DigiCert High Assurance Code Signing CA-1 (SHA256 Fingerprint: 00:7D:2C:8B:15:78:62:32:BA:C0:EA:A3:1F:60:AA:E0:6D:C5:72:92:1B:AD:0D:46:C7:71:07:D8:C2:DC:A4:B3)
- USERTrust RSA Certification Authority (SHA256 Fingerprint: 2b 8f 1b 57 33 0d bb a2 d0 7a 6c 51 f7 0e e9 0d da b9 ad 8e)
- Thawte Primary Root CA (self-signed) - Root Certificate (tbs-certificates.co.uk) (SHA-1 Thumbprint: 91c6d6ee3e8ac86384e548c299295c756c817b81)
- GlobalSign Root CA - R3 - Root certificate (tbs-certificates.co.uk) (SHA256 Fingerprint: d69b561148f01c77c54578c10926df5b856976ad)
- Symantec Class 3 SHA256 Code Signing CA
請注意 BEGIN CERTIFICATE 與 END CERTIFICATE 這兩行。 Y您可以將這兩行和它們之間的所有內容複製貼上到記事本中,並將其保存為 Symantec_Class3_SHA256_code.crt
- UTN-USERFirst-Object (utn-userfirst-object_kmod.crt)
- Microsoft Root Certificate Authority 2011 (MicRooCerAut2011_2011_03_22.crt)
- Microsoft Root Certificate Authority 2010 (MicRooCerAut_2010-06-23.crt)
相關憑證均為免費憑證,若您對相關憑證匯入有疑問,可洽詢趨勢科技技術支援部門。 - 在有問題端點電腦與受影響的產品伺服器上安裝每個憑證
- 點選並開啟已下載的憑證檔案,然後點選安裝憑證
- 憑證匯入精靈視窗將會出現,點選下一步
- 如果是 Windows server 2012或以上的作業系統,請點選本機電腦然後點選下一步
- 選擇"將所有憑證放入以下的存放區" 並點選 瀏覽
- 勾選 顯示實體存放區 > 信任的根憑證授權 > 本機電腦 並按下 確定
- 對於Windows server 2016 或以上的作業系統,請選擇 “受信任的根憑證授權單位”,然後點擊確定。
- 若環境有加入網域,請參考Manage Trusted Root Certificates。
- 對於Windows server 2016 或以上的作業系統,請選擇 “受信任的根憑證授權單位”,然後點擊確定。
- 點選 完成。應出現"匯入執行成功"的訊息。
與憑證相關的問題應該已經獲得解決。
如果手動匯入憑證和執行 Windows Update 沒有作用,請檢查群組原則管理(GPO)是否有關閉自動根憑證更新:
- 到 電腦設定 > 原則 > 系統管理範本 > 系統 > 網際網路通訊管理 > 網際網路通訊設定 > "關閉自動根憑證更新"。
- 將設定改為 "尚未設定" (預設值)。