オフライン環境の端末で 2022/3/24 以降にリリースされた Intelligent Updater ファイルで定義が更新されない

book

Article ID: 239467

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

Intelligent Updater ファイルを実行すると "Intelligent Updater session complete." と表示されるが定義が更新されない。
Log.IntelligentUpdater.txt を見ると以下のエラーメッセージが記録されている。

-------
ERROR: unrar.dll is not Symantec Signed. IU cannot continue processing. Terminating all IU operations.
-------

unrar.dll のデジタル署名を確認すると "副署名の1つが無効です" と表示されている。

Cause

Intelligent Updater ファイルに含まれる解凍用のモジュール (unrar.dll) の認証には 2 つのルート証明書が必要となります。

[デジタル署名]
DigiCert High Assurance EV Root CA
[副署名]
DigiCert Assured ID Root CA (2022/3/24 以降)
Thawte Timestamping CA (2022/3/23 以前)


3/24 以降の定義ファイルから副署名に必要なルート証明書が変更になりました。
DigiCert Assured ID Root CA がインストールされてないと Intelligent Updater の実行が失敗します。
この証明書がインストールされていない場合、Windows は自動的に証明書をダウンロードしてインストールします。
ただし、システムが Windows Server Update Services と通信できない場合や、ポリシーの [ルート証明書の自動更新をオフにする] が有効になっている場合、OS が SHA2 のみのコードサイニング証明書をサポートしていない場合は、この動作は行われません。

Environment

インターネットにアクセスできない環境

Resolution

以下の手順で、DigiCert Assured ID Root CA 証明書をインストールします。

1. https://cacerts.digicert.com/DigiCertAssuredIDRootCA.crt から証明書をダウンロードします。
2. 証明書 (*.crt) を対象のマシンにコピーします。
3. 証明書をダブルクリックして[証明書のインストール]をクリックします。
4. インポートウィザードで [次へ] をクリックします。
5. [証明書をすべて次のストアに配置する] を選択します。
6. [参照] ボタンをクリックし、[信頼されたルート証明機関] を選択して [OK] をクリックします。
7. [次へ] ボタンをクリックし、[完了] ボタンをクリックします。
8. [この証明書をインストールしますか] で [はい] を選択します。

同じエラーが表示される場合は、PowerShell から次のコマンドを使用して、DigiCert Assured ID Root CA がインストールされていることを確認します。

Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Thumbprint -eq "0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43"}

証明書がインストールされていない場合は、何の情報も返されません。 証明書がインストールされている場合は、以下のように表示されます。

ディレクトリ: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root

Thumbprint                                Subject
----------                                -------
0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43  CN=DigiCert Assured ID Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US

Additional Information

上記の手順でも解消しない場合は、https://cacerts.digicert.com/DigiCertHighAssuranceEVRootCA.crt にアクセスして "DigiCert High Assurance EV Root CA" 証明書をダウンロードし、同様の手順で [信頼されたルート証明機関] に追加してください。

Attachments