Установка программ и обновление корневых сертификатов


При установке на клиентскую машину Java 1.6 система выдала ошибку:

Error 1330.A file that is required cannot be installed because the cabinet file C:\Documents and settings\…\Application Data\Sun\Java\…\Data1.Cab has an invalid digital signature. This may indicate that the cabinet file is corrupt.

Скачал другой дистрибутив. Установка с той же ошибкой. Что за чудо? Открыл свойства Data1.Cab посмотрел подпись: написано – не могу проверить сертификат. Перенес файл на свой компьютер – проверка прошла. Уже легче. Сравнил списки корневых сертификатов на своей машине и на проблемной. На моей машине корневых сертификатов намного больше. С чего бы это?

Когда-то я разбирался с обновлениями корневых сертификатов, что свелось к настройке WSUS и установке обновления KB931125, которое периодически прилетает в новой версии. Сейчас посмотрел внимательнее на это обновление и обнаружил, что счетчик установленных меньше, чем всего компьютеров в сети – обновление ставится не на все компьютеры… Прочитал описание обновления KB931125: оно предназначено только для XP! А за последнее время появились компьютеры на Windows 7, и число их растет. Значит с новыми версиями надо разбираться отдельно.

Тут же была обнаружена статья Technet, которая описывает механизм обновления корневых сертификатов на Vista и Windows 7 Certificate Support and Resulting Internet Communication in Windows Vista.

Существует два способа доставки корневых сертификатов на компьютеры в Active Directory:

1.       Задание политики GPO User Configuration – Windows Settings – Security Settings – Public Key Policies

2.       Автоматическая загрузка корневого сертификата через Интернет с сайта http://www.download.windowsupdate.com

Первый способ позволяет администраторам Active Directory целиком контролировать, каким корневым сертификатам можно доверять. Насколько это нужно? Если ваша компания достаточно крупная и проводит жесткую политику контроля доступа, то скорее всего потребуется жесткий контроль корневых сертификатов. Если компания небольшая и/или не использует сертификаты для управления доступом, цифровых подписей кода и т.п., то этот способ вызовет только лишние траты времени администраторов и раздражение пользователей.

Второй способ гарантирует автоматическую загрузку только проверенных Microsoft корневых сертификатов с сайта http://www.download.windowsupdate.com Это лучшее решение в смысле простоты, минимума затрат и надежности для небольших компаний и компаний не использующих на полную катушку PKI в своем бизнесе. Этот способ фактически аналог установки обновления KB931125 на системы XP. Отличие в том, что обновление устанавливает все доступные корневые сертификаты, а автоматическая загрузка выполняет загрузку только корневого  сертификата, которые необходим для проверки в данный момент.

Чтобы второй способ заработал, достаточно открыть всем клиентам Vista/Windows 7 доступ на сайт http://www.download.windowsupdate.com и запретить политику Turn off Automatic Root Certificates Update.

Все настройки описаны в выше упомянутой статье.

Остается добавить, что после выполнения этих настроек и политик, Lava чудесным образом установилась J

 

Полезные ссылки:

1.       http://support.microsoft.com/kb/931125

2.       http://technet.microsoft.com/en-us/library/cc749331(WS.10).aspx

 

Реклама

комментария 2

  1. Вот блин, я на своей прошлой машине натыкался на такую ошибку с установкой JAVA но настолько детально не было времени и желания копать…

    Спасибо большое!

  2. […] чтения блогов интересных людей натолкнулся на отличную статью от Ильи Сазонова и многое стало понятным. Где то на […]

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: