CTX130025
XenApp 5.0 for Windows Server 2008 x64,XenApp 5.0 for Windows Server 2008 x86,XenApp Fundamentals 3.0
XenApp 5.0 for Windows Server 2008 x64,XenApp 5.0 for Windows Server 2008 x86,XenApp Fundamentals 3.0
Article
Article
2016-04-22
2012-03-10

Windows Server 2008 のルート証明書の更新機能でルート証明書を自動更新できない場

Windows Server 2008のルート証明書の更新機能でルート証明書を自動 更新できない場合にHotfixのインストールに失敗する.

Symptoms or Error

?????? ???
Citrix のデジタル証明書は、VeriSign 社のルート証明書で署名されています。 Windows Server 2008 のルート証明書の更新機能で正しいルート証明書を自動的に取得したり更新したりできない場合、Citrix のデジタル証明書を検証できなくなります。この結果、Hotfix のインストール時に IMA サービスが起動せず、インストールに失敗します。ルート証明書の取得や更新ができない原因として、インターネットに接続できない、またはグループポリシーでこの機能が禁止されている、などが考えられます。

XenApp 5 の Hotfix でこの問題が発生すると、以下のエラーメッセージが表示されます。

「エラー26005。IMA サービスを起動できません(CTX_MF_IMA_StartIMAService State = 1)。」

ユーザが追加した画像

この問題が発生すると、インストーラーのロールバックにも失敗し、システムの再構成が必要になる場合があります。

正しいルート証明書がインストールされていることを確認するには

Hotfixをインストールする前に、インストール先のサーバー上に正しいルート証明書が存在することを確認してください。この手順4.で「情報不足のため、この証明書を検証できません」と表示される場合、正しいルート証明書がインストールされておらず、上記の問題が発生します。
??0
1. Hotfix のパッケージファイルを右クリックし、[プロパティ]を選択します。

2. [デジタル署名] タブを開きます。

3. 署名者の一覧で [Citrix Systems, Inc] を選択し、[詳細]をクリックします。

4. [デジタル署名の詳細] ダイアログボックスで、[証明書の表示] をクリックします。システムに正しいルート証明書が存在しない場合、「情報不足のため、この証明書を検証できません」と表示されます。

ユーザが追加した画像

??螾

Solution

対策1

Windows のルート証明書の更新機能でルート証明書を自動的に更新できるように設定します。詳しくは、以下の Microsoft TechNet 情報を参照してください。
??0
Windows Server 2008 の証明書のサポートとこれにより発生するインターネット通信
http://technet.microsoft.com/ja-jp/library/cc771121(WS.10).aspx

対策2

ルート証明書の更新機能でルート証明書を自動更新できない場合は、以下の手順で必要な VeriSign ルート証明書をインストールしてから、Hotfix をインストールします。

まず、必要なルート証明書をダウンロードします。
1. 以下のURLの「Download VeriSign, GeoTrust, and Thawte Primary PCA Root Certificates」ページにアクセスします。
https://www.verisign.com/support/roots.html

2. 「VeriSign Root Package」の下の「Download a root package」をクリックして、roots.zip ファイルをダウンロードします。

ルート証明書をダウンロードしたら、次の手順でそのルート証明書をインストールします。

1. roots.zip ファイルを展開して、内容を抽出します。

2. VeriSign Root Certificates\Generation 5 (G5) PCA フォルダーの VeriSign Class 3 Public Primary Certification Authority - G5.cer ファイルをダブルクリックして、[証明書のインストール] をクリックします。これにより、証明書のインポートウィザードが開きます。[次へ] をクリックします。

3. ウィザードの [証明書ストア] ページで、[証明書をすべて次のストアに配置する]をクリックし、[参照] をクリックします。

4. [証明書ストアの選択]ダイアログボックスで、[物理ストアを表示する]チェックボックスをオンにして、[信頼されたルート証明機関]ノードの[ローカルコンピュータ]を選択します。[OK]をクリックします。

ユーザが追加した画像


5. [次へ]をクリックして、さらに[完了]をクリックします。これにより、ルート証明書がインストールされます。

6. 上記の「正しいルート証明書がインストールされていることを確認するには」の手順に従って、ルート証明書が正しくインストールされたとこを確認します。

ユーザが追加した画像

7. Hotfixをインストールします。


??0

Problem Cause

Citrix では、コード署名証明書を定期的に更新しています。2011 年の新しい Citrix 証明書は、以前のものとは異なる VeriSign ルート証明書を使用して署名されています。この Citrix 証明書が使用された Hotfix をインストールするときに、正しいルート証明書がシステム上に存在するかどうかがチェックされます。ルート証明書が見つからない場合、証明書チェーンの検証時に Windows により必要なルート証明書がダウンロードされます。このルート証明書の更新機能でルート証明書を取得できない場合、証明書の検証に失敗します。これにより Hotfix のインストール時に IMA サービスが起動できなくなり、インストールに失敗します。ルート証明書の取得や更新ができない原因として、インターネットに接続できない、またはグループポリシーでこの機能が禁止されている、などが考えられます。

IMA サービスの起動時に、このサービスで使用されるいくつかのモジュールが Citrix 証明書の署名により確認されます。その確認のため、証明書チェーンの有効性が検証されます。証明書の署名に使用されたルート証明書が存在しない場合、証明書チェーンが無効になり、正しく署名されていないと判断されます。この結果、IMA サービスで使用されるモジュールも正しく署名されていないと判断され、IMA サービスの起動に失敗します。この Citrix 証明書の署名検証は、Hotfix をインストールした後でも IMA が起動するたびに実行されます。このため、新しい Citrix 証明書用の VeriSign ルート証明書は、 Hotfix をインストールした後でもシステムにインストールされている必要があります。
??0

Additional Resources

Windows Server 2008の 証明書のサポートとこれにより発生するインターネット通信
http://technet.microsoft.com/ja-jp/library/cc771121(WS.10).aspx

この資料は米国の Knowledge Base で提供している資料をもとに作成したものです。
Document ID: CTX129998
Hotfix Installation Fails if the Update Root Certificates Feature in Windows Server 2008 Cannot Automatically Update the Root Certificates

??0

Applicable Products

 

Join the conversation

Citrix Discussions

Open a case

Citrix Support

特别说明

本文来源为Citrix.com所有,翻译后版权归翻译者所有.如需转载请注明出处.

相关文档

PREV

上一篇
SUPERSEDED: LIMITED RELEASE - Hotfix XA600W2K8R2X64074 - For Citrix XenApp 6.0 for Windows Server 2008 R2 - English

NEXT

下一篇
Streamed Application Error: Data related to your applications is corrupt

文档版本

.

广告招租

最新留言

.

广告招租

.