Заметки сисадмина » Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления сертификатов Windows службы CAPI2

Заметки сисадмина о интересных вещах из мира IT, инструкции и рецензии. Настраиваем Компьютеры/Сервера/1С/SIP-телефонию в Москве

Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления сертификатов Windows службы CAPI2

2024-09-17 · Posted in Windows - 7

Если компьютер не имеет прямого доступа в интернет, вы можете обнаружить ошибку в журнале приложений с кодом 4107:

Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления на “http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab” с ошибкой Недопустимые данные.

Обычно это связана с тем, что компьютер не может корректно обновить корневые сертификаты через сайт “windowsupdate.com“.

Возможные варианты решения проблемы:

1)Снять ограничения на прокси сервере или внешнем брандмауэре, через которые осуществляется выход в интернет.

2)В случае полной изоляции среды функционирования ОС Windows можно просто отключить обновление сертификатов двумя способами:

Первый – в реестре создайте следующие параметры:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot]
“DisableRootAutoUpdate”=dword:00000001
“EnableDisallowedCertAutoUpdate”=dword:00000000

Или второй – с помощью групповых политик домена Windows. Для этого импортируйте следующие .adm шаблоны:

3)Перенаправить на локальный URL-адрес автоматическое обновление сертификатов Microsoft. Для этого понадобится один сервер с полноценным выходом в интернет, который будет выкачивать списки сертификатов и предоставлять их во внутреннюю сеть. Загрузка выполняется с помощью команды “Certutil -f -syncWithWU path“, запущенной с повышенными привилегиями, где path – это путь, куда будет выгружена информация о сертификатах для дальнейшего распространения. Далее файлы можно просто расшарить средствами Windows или предоставить доступ по HTTP через IISApache и т.п. На клиентских ОС производим настройку на сервер в реестре:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate]
“RootDirURL”=”FILE://\\server_with_certificates\share\”

или

“RootDirURL”=”HTTP://server_with_certificates/share”

В доменной среде удобнее выполнить настройку с помощью групповой политики. Используйте следующий .adm шаблон:

Выберите из вышеописанных способов наиболее подходящий для вашей среды.

Leave a Reply