SCCM - Обновление корневых сертификатов

При попытке развернуть последнюю версию JRE на Windows 7 столкнулся с ситуацией, когда программа установки завершается с ошибкой:

Имя журнала: Application
Источник: MsiInstaller
Дата: 26.01.2011 8:37:12
Код события: 11330
Категория задачи: Отсутствует
Уровень: Ошибка
Ключевые слова: Классический
Пользователь: mydomuser
Компьютер: WS001.mydom.com
Описание:
Product: Java(TM) 6 Update 23 -- Error 1330.A file that is required cannot be installed because the cabinet file \sccm-serverSourcesJRE_1.6.0_23x86Data1.cab has an invalid digital signature. This may indicate that the cabinet file is corrupt. Error 266 was returned by WinVerifyTrust.

Проблема в данном случае заключается в отсутствии доверия к корневому сертификату в цепочке корневых сертификатов того сертификата, с помощью которого подписан *.cab файл в составе дистрибутива.

При этом на компьютерах с Windows XP данной проблемы нет, так как эти ОС получают с WSUS соответствующее обновление - Update for Root Certificates [October 2010] (KB931125)

clip_image001

Для того чтобы обеспечить обновление корневых сертификатов на всех клиентских системах Windows можно скачать файл rootsupd.exe и форсированного распространить его. В моём случае, для этой цели я воспользовался SCCM, создав новый пакет распространения:

clip_image002

Для пакета сделана соответствующая программа, которая в скрытом режиме будет запускать исполняемый файл rootsupd.exe.

clip_image001[4]

После распространения созданного пакета на все точки распространения SCCM и объявления на коллекцию клиентских ПК, проблема с развёртыванием JRE будет исчерпана.

Для тех, у кого нет возможности использовать SCCM, распространить это обновление можно и другими доступными способами, например через GPO.

Всего комментариев: 6 Комментировать

  1. Обратная ссылка: SCCM 2007 R2 – развёртывание Java Runtime Environment (JRE) « ИТ Блог Алексея Максимова /

  2. Виктор /

    А как вы разворачиваете Java?
    по картинкам вижу, что используете MSI.
    Упаковываете JAVA в MSI самостоятельно?

    у меня последняя JAVA (jre-6u31-windows-i586-s.exe) в тихом режиме не устанавливалась - в то время, как она же, но x64 в тихом режиме устанавливалась..

    А по поводу сертификатов: зачем rootupd, если сертификат можно и политикой раздать?

  3. Алексей Максимов /

    Последняя Java которую я разворачивал - версия 6 Update 23 https://blog.it-kb.ru/2011/01/28/sccm-2007-r2-deploy-java-runtime-environment-jre/
    Последующие версии не разворачивал пока. Слышал что там как обычно всё поменялось в плане инсталлятора и ключей установки, но пока не вдавался в эту тему. Не до этого пока, да и 23 релиз работает вполне удовлетворительно.

    По поводу сертификатов - видимо вы не поняли о чём идёт речь, если предлагаете мне воспользоваться GPO для обновления ВСЕХ ПУБЛИЧНЫХ корневых сертификатов.

    Вообще сейчас эту мою заметку можно считать устаревшей, так как автоматическое обновление корневых сртификатов для систем Windows 7/2008R2 с недавнего времени стало доступно через WSUS.

    1. Виктор /

      Java ниже 31 версии банит FireFox

  4. Обратная ссылка: развёртывание Java Runtime Environment | Шпора начинающего IT-шника /

  5. Обратная ссылка: Автоматическое обновление хранилища сертификатов доверенных корневых центров сертификации на компьютерах Windows не имеющих прямого доступ /

Добавить комментарий