SymDiag バージョン 2.1.300 以降では、信頼するルート証明書として、DigiCert Trusted Root G4 証明書をインストールする必要があります。このルート証明書は、2020 年 7 月の Microsoft Trusted Root プログラムの一部です。この証明書がインストールされていない場合、Windows は自動的に証明書をダウンロードしてインストールします。ただし、システムが Windows Server Update Services と通信できない場合や、ポリシーの「ルート証明書の自動更新をオフにする」が有効になっている場合、OS が SHA2 のみのコードサイニング証明書をサポートしていない場合は、この動作は行われません。

以下の手順で、DigiCert Trusted Root G4 証明書をインストールします。

1. https://cacerts.digicert.com/DigiCertTrustedRootG4.crt から証明書をダウンロードします。
2. ダウンロードしたファイルをダブルクリックします。
3. [証明書のインストール] をクリックします。
4. インポートウィザードで保存場所として [ローカルコンピューター] を選択して [次へ] をクリックします。
5. [証明書をすべて次のストアに配置する] を選択します。
6. [参照] ボタンをクリックし、[信頼されたルート証明機関] を選択して [OK] をクリックします。
7. [次へ] ボタンをクリックし、[完了] ボタンをクリックします。
8. [この証明書をインストールしますか] で [はい] を選択します。
    

マイクロソフト社の技術文書 Windows および WSUS の 2019 sha-2 コード署名のサポートの要件 を参照して、ご利用の Windows OS が SHA-2 をサポートしていることを確認してください。

同じエラーが表示される場合は、PowerShell から次のコマンドを使用して、DigiCert Trusted Root G4 がインストールされていることを確認します。

Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Thumbprint -eq "ddfb16cd4931c973a2037d3fc83a4d7d775d05e4"}

証明書がインストールされていない場合は、何の情報も返されません。 証明書がインストールされている場合は、以下のように表示されます。

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root

Thumbprint                                Subject
----------                                -------
DDFB16CD4931C973A2037D3FC83A4D7D775D05E4  CN=DigiCert Trusted Root G4, OU=www.digicert.com, O=DigiCert Inc, C=US

[英語文書] Failed to launch Symantec Diagnostic Tool

VeriSign Universal Root Certification Authority が存在しない場合も同様のエラーダイアログが表示されます。ポリシーの「ルート証明書の自動更新をオフにする」が有効になっている場合には自動的にインストールされないため、DigiCert Roots and Intermediates より pem ファイルをダウンロードし、crt に拡張子を変更して手動でインストールしてください。