Cách cập nhật phát hành chứng chỉ gốc để cài đặt hoặc nâng cấp sản phẩm McAfee Enterprise thành công

Môi trường dữ liệu

  • Multiple McAfee Enterprise products

Tóm tắt

Các mã nhị phân sản phẩm McAfee Enterprise được liệt kê dưới đây đã được ký với các chứng chỉ cập nhật:

Affected Product

Version

Data Exchange Layer (DXL) 5.0.2 and later
Data Loss Prevention Endpoint (DLPE) 11.3.2.82 and later
Database Security 4.6.6 Update 3 and later
Endpoint Security (ENS) Adaptive Threat Protection 10.7.0 and later

10.6.1 October 2019 Update and later

ENS Firewall 10.7.0 and later

10.6.1 October 2019 Update and later

ENS Platform (Common) 10.7.0 and later

10.6.1 October 2019 Update and later

ENS Threat Prevention 10.7.0 and later

10.6.1 October 2019 Update and later

ENS Web Control 10.7.0 and later

10.6.1 October 2019 Update and later

Host Intrusion Prevention (Host IPS) 8.0 Patch 14 and later
McAfee Active Response (MAR) 2.4.1 and later
McAfee Agent (MA) 5.6.2 and later
McAfee Application and Change Control (MACC) 8.2.1 Update 5 and later
McAfee Client Proxy (MCP) 2.5.0 and later
MVISION Endpoint 1906 and later
McAfee VirusScan Enterprise 8.8 Patch 14 and later

McAfee Enterprise có kế hoạch cập nhật các tệp nhị phân sản phẩm sau với các chứng chỉ được cập nhật trong một bản phát hành sản phẩm trong tương lai. Bài viết này được cập nhật khi mã nhị phân sản phẩm được cập nhật.

Products Pending Update

Version

Endpoint Intelligence Agent (EIA) To be determined
Threat Intelligence Exchange Module (TIEm) for VirusScan Enterprise To be determined

Các gói McAfee Enterprise mới nhất bao gồm các tệp nhị phân đã được ký với các chứng chỉ SHA-1 và SHA-256 được cập nhật. Chứng chỉ gốc cập nhật là cần thiết, để xác thực chữ ký điện tử mới. Microsoft phân phối các chứng chỉ này.

QUAN TRỌNG: Đảm bảo rằng bạn cập nhật kho lưu trữ chứng chỉ gốc và thay thế các chứng chỉ bị thiếu. Nếu không, bạn không thể cài đặt hoặc nâng cấp thành công bất kỳ sản phẩm nào trong bài viết này. Nguyên nhân là do hệ điều hành không thể xác thực thành công các tệp nhị phân chứng chỉ mới.

Trong một số môi trường, chứng chỉ gốc có thể bị thiếu. Các lý do thiếu chứng chỉ gốc bao gồm, nhưng không giới hạn:

  • Quản trị viên đã xóa chứng chỉ khỏi hệ thống.
  • Hệ thống không có kết nối internet, cần thiết để thực hiện Root AutoUpdate (cập nhật gốc tự động).
  • Chính sách nhóm có hiệu lực ngăn cập nhật chứng chỉ gốc
    • The registry value HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate is set to 1.
    • The registry key HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\ProtectedRoots

Giải pháp

Nhập các chứng chỉ cần thiết, để xác thực chữ ký số trước khi bạn cài đặt hoặc nâng cấp sản phẩm:

  • Cài đặt các chứng chỉ gốc còn thiếu của Tổ chức phát hành chứng chỉ gốc đáng tin cậy của bên thứ ba. Cụ thể, Dịch vụ chứng chỉ AAA, AddTrust External CA Root, GlobalSign, GlobalSign Root CA, Microsoft Code Verification Root, USERTrust RSA Certification Authority, UTN-USERFirst-Object, Verisign Class 3 Public Primary Certification Authority – G5, and Verisign Universal Root Certification Authority.
  • Cài đặt chứng chỉ Tổ chức cấp chứng chỉ trung gian còn thiếu của Tổ chức phát hành chứng chỉ trung gian thực. Cụ thể thêm các chứng chỉ được liệt kê bên dưới:
    • Trust External CA Root
    • COMODO RSA Code Signing CA
    • GlobalSign
    • GlobalSign CodeSigning CA – G3
    • GlobalSign CodeSigning CA – SHA256 – G3
    • GlobalSign Root CA
    • McAfee Code Signing CA 2
    • McAfee OV SSL CA 2
    • USERTrust RSA Certification Authority (2028)
    • Verisign Class 3 Code Signing 2010 CA

Tùy chọn cài đặt chứng chỉ:

Tùy chọn 1: Cài đặt chứng chỉ bằng chính sách nhóm Active Directory

McAfee Enterprise khuyên bạn nên cài đặt chứng chỉ bằng chính sách nhóm Active Directory để triển khai rộng rãi.

Triển khai thay đổi registry cho chính sách Máy tính, không phải chính sách Người dùng.

Tùy chọn 2: Cài đặt chứng chỉ trực tiếp trên hệ thống

Nếu bạn có một hệ thống đơn lẻ hoặc chỉ một vài hệ thống, bạn có thể sử dụng các tệp sau để cài đặt chứng chỉ trực tiếp trên hệ thống. Bạn cũng có thể cài đặt chúng từ xa bằng bất kỳ phương pháp triển khai quản trị thích hợp nào.

Để cài đặt chứng chỉ, hãy thực hiện một trong các thao tác sau:

  • Tải file: bat.txt in the Attachment section of this article. Rename the file to DigiCert_USERFirst_VeriSign_Comodo_GlobalSign_and_USERTrust.batvà chạy nó.

OR

  • Tải file: reg.txt in the Attachment section of this article. Rename the file to DigiCert_USERFirst_VeriSign_Comodo_GlobalSign_and_USERTrust.reg và nhập nó vào.

Danh sách các chứng chỉ và chi tiết SHA-1 cho các tệp đính kèm:

Certificate

SHA-1 Details

AAA Certificate Services (2028) D1EB23A46D17D68FD92564C2F1F1601764D8E349
AddTrust External CA Root (2020) 02FAF3E291435468607857694DF5E45B68851868
AddTrust External CA Root (2023) A75AC657AA7A4CDFE5F9DE393E69EFCAB659D250
COMODO RSA Code Signing CA (2028) B69E752BBE88B4458200A7C0F4F5B3CCE6F35B47
DigiCert Assured ID Root CA (2031) 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
DigiCert SHA2 Assured ID Timestamping CA (2031) 3BA63A6E4841355772DEBEF9CDCF4D5AF353A297
GlobalSign (2029) D69B561148F01C77C54578C10926DF5B856976AD
GlobalSign (2028) 0BBFAB97059595E8D1EC48E89EB8657C0E5AAE71
GlobalSign CodeSigning CA – SHA256 – G3 (2024) 090D03435EB2A8364F79B78CB173D35E8EB63558
GlobalSign CodeSigning CA – G3 (2024) F1E7B6C0C10DA9436ECC04FF5FC3B6916B46CF4C
GlobalSign Root CA (2021) CC1DEEBF6D55C2C9061BA16F10A0BFA6979A4A32
GlobalSign Root CA (2028) B1BC968BD4F49D622AA89A81F2150152A41D829C
McAfee Code Signing CA 2 (2024) 17661DFBA03E6AAA09142E012D216864F01D1F5E
McAfee OV SSL CA 2 (2024) 9151B539751B891401C745A9DE301CBDBADF3FB6
Microsoft Code Verification Root (2025) 8FBE4D070EF8AB1BCCAF2A9D5CCAE7282A2C66B3
USERTrust RSA Certification Authority (2020) EAB040689A0D805B5D6FD654FC168CFF00B78BE3
USERTrust RSA Certification Authority (2028) D89E3BD43D5D909B47A18977AA9D5CE36CEE184C
USERTrust RSA Certification Authority (2038) 2B8F1B57330DBBA2D07A6C51F70EE90DDAB9AD8E
UTN-USERFirst-Object (2019) E12DFB4B41D7D9C32B30514BAC1D81D8385E2D46
Verisign Class 3 Code Signing 2010 CA (2020) 495847A93187CFB8C71F840CB7B41497AD95C64F
Verisign Class 3 Public Primary Certification Authority – G5 (2036) 4EB6D578499B1CCF5F581EAD56BE3D9B6744A5E5
Verisign Universal Root Certification Authority (2037) 3679CA35668772304D30A5FB873B0FA77BB70D54

Trân trọng cám ơn quý độc giả.

Biên dịch Lê Toản – Help.pacisoft.com