При установке на клиентскую машину Java 1.6 система выдала ошибку:
Error 1330.A file that is required cannot be installed because the cabinet file C:\Documents and settings\…\Application Data\Sun\Java\…\Data1.Cab has an invalid digital signature. This may indicate that the cabinet file is corrupt.
Скачал другой дистрибутив. Установка с той же ошибкой. Что за чудо? Открыл свойства Data1.Cab посмотрел подпись: написано – не могу проверить сертификат. Перенес файл на свой компьютер – проверка прошла. Уже легче. Сравнил списки корневых сертификатов на своей машине и на проблемной. На моей машине корневых сертификатов намного больше. С чего бы это?
Когда-то я разбирался с обновлениями корневых сертификатов, что свелось к настройке WSUS и установке обновления KB931125, которое периодически прилетает в новой версии. Сейчас посмотрел внимательнее на это обновление и обнаружил, что счетчик установленных меньше, чем всего компьютеров в сети – обновление ставится не на все компьютеры… Прочитал описание обновления KB931125: оно предназначено только для XP! А за последнее время появились компьютеры на Windows 7, и число их растет. Значит с новыми версиями надо разбираться отдельно.
Тут же была обнаружена статья Technet, которая описывает механизм обновления корневых сертификатов на Vista и Windows 7 Certificate Support and Resulting Internet Communication in Windows Vista.
Существует два способа доставки корневых сертификатов на компьютеры в Active Directory:
1. Задание политики GPO User Configuration – Windows Settings – Security Settings – Public Key Policies
2. Автоматическая загрузка корневого сертификата через Интернет с сайта http://www.download.windowsupdate.com
Первый способ позволяет администраторам Active Directory целиком контролировать, каким корневым сертификатам можно доверять. Насколько это нужно? Если ваша компания достаточно крупная и проводит жесткую политику контроля доступа, то скорее всего потребуется жесткий контроль корневых сертификатов. Если компания небольшая и/или не использует сертификаты для управления доступом, цифровых подписей кода и т.п., то этот способ вызовет только лишние траты времени администраторов и раздражение пользователей.
Второй способ гарантирует автоматическую загрузку только проверенных Microsoft корневых сертификатов с сайта http://www.download.windowsupdate.com Это лучшее решение в смысле простоты, минимума затрат и надежности для небольших компаний и компаний не использующих на полную катушку PKI в своем бизнесе. Этот способ фактически аналог установки обновления KB931125 на системы XP. Отличие в том, что обновление устанавливает все доступные корневые сертификаты, а автоматическая загрузка выполняет загрузку только корневого сертификата, которые необходим для проверки в данный момент.
Чтобы второй способ заработал, достаточно открыть всем клиентам Vista/Windows 7 доступ на сайт http://www.download.windowsupdate.com и запретить политику Turn off Automatic Root Certificates Update.
Все настройки описаны в выше упомянутой статье.
Остается добавить, что после выполнения этих настроек и политик, Lava чудесным образом установилась J
Полезные ссылки:
1. http://support.microsoft.com/kb/931125
2. http://technet.microsoft.com/en-us/library/cc749331(WS.10).aspx
Filed under: Windows 7 | 2 комментария »
ILYA Sazonov: ITPro 