トレンドマイクロのApexOneで、オフライン環境でルート証明書の更新ができないとパターンファイルの更新に失敗するという事象があります。少し前に、セキュリティ要件が厳しくなったのか、ルート証明書の署名チェックに失敗すると、パターンファイルの更新に失敗するだけでなく、様々な問題を引き起こすようになりました。
以前は、チェックを無効にすることができていましたが、それも動作しなくなりました。
情報元はこちら。
デジタル署名により発生する問題について
https://success.trendmicro.com/jp/solution/1309456
ここで、ウイルスバスター Corp. はデジタル署名に対するチェック機能を実装しており、システム要件のページに記載の通り、インターネットに接続して Windows Update サーバに接続できない環境 (オフライン環境) で利用するには、各端末においてルート証明書のインストールが必要とあります。
最近はセキュリティ要件が厳しくなって、インターネットに接続できない環境でシステムが動いていることがあるのに、、、逆行している対処ですね。マイクロソフトのWSUSのように、プロキシゲートウェイが正しく構成されていればOKというようなシステムの形にしてもらいたいのですが、そうはいきません。
発生する事象の例の抜粋です。
①「ウイルスバスター Corp. クライアントをインストールできません。<ファイル名>のコピーにエラーが発生しました。ウイルスバスター Corp. 管理者にお問い合わせください。」というポップアップメッセージがクライアント端末に表示される。
※<ファイル名>は、ウイルスバスター Corp. で使用するファイル名が記載されます。
②「ダウンロードされた1つ以上のファイルに有効なデジタル署名が含まれていませんでした」というエラーメッセージがウイルスバスター Corp. のイベントログに出力される。
③新規にインストールしたウイルスバスター Corp. クライアントが Web 管理コンソールに登録されない。
④ウイルスを検出した際、ウイルスログを正常に更新できない。
⑤Web 管理コンソールに表示される各ウイルスバスター Corp. クライアントのパターン番号が正常に更新されない。
⑥ウイルスバスター Corp. クライアントのバージョンアップに失敗する
⑦ウイルスバスター Corp. サーバのバージョンアップに失敗する
⑧ウイルスバスター Corp. サーバから各種設定をウイルスバスター Corp. クライアントへ正しく同期できない
どれも致命的な問題ばかりです。
対処法のそのまま抜粋ですが、インターネットに接続できない環境の場合はこれを実施する必要があります。
方法2: ルート証明書を手動でインストールする
インターネットに接続できない端末に関しては、下記の手順で掲載している全ての証明書をインストールしてください。
証明書のインストール手順について不明点がある場合は、恐れ入りますがマイクロソフト社へお問い合わせください。
以下証明書ファイルが必要になります。こちらの問い合わせフォームからサポートセンタにお問合せください。
AddTrustExternalCARoot.crt
UTN-USERFirst-Object.crt
COMODOCodeSigningCA2.crt
UTNAddTrustObject_CA.crt
DigiCert High Assurance EV Root CA
インターネット接続が可能な Windows 8.1、Windows 10、Windows Server 2012 R2、Windows Server 2016 で、Windows Update サイトにある証明書情報を同期します。
Windows 8、Windows Server 2012 以前の OS で 証明書情報を同期する場合は、KB2813430を適用してください。
証明書ファイルを保存するフォルダを作成します。
作成例:c:\cert-files
コマンドプロンプト ( cmd.exe ) を管理者として実行します。
下記コマンドを実行します。
CertUtil -syncWithWU <証明書ファイル保存パス>
実行例:CertUtil -syncWithWU c:\cert-files
証明書ファイルを保存したフォルダから、以下のファイルを取得します。
VeriSign Class 3 Public Primary Certification Authority - G5
ファイル名 : 4eb6d578499b1ccf5f581ead56be3d9b6744a5e5.crt
VeriSign Universal Root Certification Authority
ファイル名 : 3679ca35668772304d30a5fb873b0fa77bb70d54.crt
Thawte Timestamping CA
ファイル名 : be36a4562fb2ee05dbb3d32323adf445084ed656.crt
Microsoft Root Certificate Authority 2010
ファイル名 : 3b1efd3a66ea28b16697394703a72ca340a05bd5.crt
手順 1 と手順 2 で取得した証明書のファイルをウイルスバスター Corp. サーバとウイルスバスター Corp. クライアントが動作しているOSの任意のパスに保存します。
各証明書のファイルをダブルクリックします。
【証明書のインストール】ボタンを押します。
Windows 8/2012以降ではここで「ローカルコンピュータ」を選択します。
【次へ】をクリックします。
証明書ストアで「証明書をすべて次のストアに配置する」を選択し、【参照】ボタンをクリックします。
表示された「証明書ストアの選択」の画面で、「物理ストアを表示する」にチェックを入れます。
以下の証明書をインストールする時は、[信頼されたルート証明機関] → [ローカルコンピュータ] を選択します。
「AddTrustExternalCARoot.crt」
「UTN-USERFirst-Object.crt」
「DigiCertHighAssuranceEVRootCA.crt」
「4eb6d578499b1ccf5f581ead56be3d9b6744a5e5.crt」
「3679ca35668772304d30a5fb873b0fa77bb70d54.crt」
「be36a4562fb2ee05dbb3d32323adf445084ed656.crt」
「3b1efd3a66ea28b16697394703a72ca340a05bd5.crt」
以下の証明書をインストールする時は、[中間証明機関] → [ローカルコンピュータ] を選択します。
「COMODOCodeSigningCA2.crt」
「UTNAddTrustObject_CA.crt」
※Windows 8/2012以降のOSでは既に「ローカルコンピュータ」を選択しているため、証明書ストアの選択で「ローカルコンピュータ」は表示されません。また、「物理ストアを表示する」にチェックを入れる必要はありません。
※Windows 7/2008 R2までのOSで、証明書ストアの選択で「ローカルコンピュータ」が表示されない場合は、MMCを利用して証明書をインストールしてください。
【次へ】をクリックします。
【完了】をクリックします。
すべての証明書のファイルを上記の手順 4 から手順 10 までを実施してインストールしてください。
-----------
ここまでです。以前は、「方法3: ウイルスバスター Corp. のデジタル署名に対するチェック機能を無効にする」が使えていたようですが、ウイルスバスター Corp. XG ではビルド5180 以降、ウイルスバスター Corp. 11.0 ではビルド6540 以降の環境では無効となるとあり、新しいバージョンでは回避できません。ということで、これからオフライン環境でApexOneを導入する場合はご注意ください。
