Итак, видим в журнале Window (Event Viewer) раздел Application (Приложение) множественные регистрации ошибки Event ID 4107 источник CAPI2.
В поле описания ошибки следующее:
Failed extract of third-party root list from auto update cab at: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> with error: A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file.
На момент написания статьи этой болезнью страдали Microsoft Windows Server 2008 R2, Microsoft Windows 7.
Лечим следующим методом:
1. Делаем резервную копию системы (или Точку восстановления системного раздела)
(шаг является рекомендуемым, но не обязательным);
2. Удаляем содержимое папок:
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData
3. Удаляем все сертификаты, т.е. полностью ключ «Certificates»:
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\AuthRoot\Certificates
4. Перезагружаем операционную систему.
После перезагрузки ОС ключи в реестре заново создаются и в журнале Window в разделе Application (Приложение) должно быть зарегистрированно событие (Information event) c Event ID: 4097 приблизительно следующего содержания:
Successful auto update of third-party root certificate:: Subject: <CN=GTE CyberTrust Global Root, OU=»GTE CyberTrust Solutions, Inc.», O=GTE Corporation, C=US> Sha1 thumbprint: <97817950D81C9670CC34D809CF794431367EF474>.
Удачной работы!
©Автор: Сушков С.А. (соавтор: Ella Sea)
Итак, видим в журнале Window (Event Viewer) раздел Application (Приложение) множественные регистрации ошибки Event ID 4107 источник CAPI2.
В поле описания ошибки следующее:
Failed extract of third-party root list from auto update cab at: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> with error: A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file.
На момент написания статьи этой болезнью страдали Microsoft Windows Server 2008 R2, Microsoft Windows 7.
Лечим следующим методом:
1. Делаем резервную копию системы (или Точку восстановления системного раздела)
(шаг является рекомендуемым, но не обязательным);
2. Удаляем содержимое папок:
C:WindowsSystem32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheContent
C:WindowsSystem32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData
3. Удаляем все сертификаты, т.е. полностью ключ «Certificates»:
HKEY_LOCAL_MACHINESoftwareMicrosoftSystemCertificatesAuthRootCertificates
4. Перезагружаем операционную систему.
После перезагрузки ОС ключи в реестре заново создаются и в журнале Window в разделе Application (Приложение) должно быть зарегистрированно событие (Information event) c Event ID: 4097 приблизительно следующего содержания:
Successful auto update of third-party root certificate:: Subject: <CN=GTE CyberTrust Global Root, OU=»GTE CyberTrust Solutions, Inc.», O=GTE Corporation, C=US> Sha1 thumbprint: <97817950D81C9670CC34D809CF794431367EF474>.
Удачной работы!
©Автор: Сушков С.А. (соавтор: Ella Sea)
Table of Contents
- Applies to:
- Details
- Cause
- User action
Applies to:
Windows Server 2008, Windows Vista, Windows 7
Details
|
Product |
Windows Operating System |
|
ID |
4107 |
|
Source |
Microsoft-Windows-CAPI2 |
|
Version |
6.2 |
|
Message |
Failed extract of third-party root list from auto update cab at: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> with error: A required certificate is not within its validity period when verifying against the |
Cause
This error occurs because the Microsoft Certificate Trust List (CTL) Publisher certificate expired. A copy of the CTL with an expired signing certificate exists in the %windir%ServiceProfilesLocalServiceAppDataLocalLowMicrosoftCryptnetUrlCacheCryptnetUrlCachefolder
directory.
Event ID 4107 can also be logged with the following error message: “The data is invalid,” instead of “A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file.”
The error message “Data is invalid” indicates the object that was returned from the network was not a valid .cab file. Hence, the Windows operating system could not parse it correctly. Instances of such an error can occur when the network retrieval attempt
for the .cab file fails to go through a proxy server. If the proxy server returns some data or an error message instead of a standard HTTP error code, the Windows operating system tries to parse the received message from the proxy server, expecting it to be
the .cab file. This will fail with the error message «Data is invalid.”
User action
1. Open a Command Prompt window. (To do this, click Start, click
All Programs, click Accessories,
and then click Command Prompt.)2. At the command prompt, type the following command, and then press ENTER:
certutil -urlcache * delete
3. The certutil command must be run for every user on the workstation. Each user must log in and
follow steps 1 and 2.
If the expired certificate is cached in one of the local system profiles, you must delete the content of some directories by using Windows Explorer. To do this, follow these steps:
1. Open Windows Explorer. (To do this, click Start, click
All Programs, click Accessories,
and then click Windows Explorer.)2. Enable the following hidden folders to view the directories with content that you must delete.
3. You may receive a message that states you do not have permission to access the folder.
If you receive this message, click Continue.
LocalService:
%windir%ServiceProfilesLocalServiceAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%ServiceProfilesLocalServiceAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData
NetworkService:
%windir%ServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%ServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData
LocalSystem:
%windir%System32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%System32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData
Примечание. Команду certutil нужно выполнить для всех пользователей рабочей станции. Каждый из них должен войти в систему и выполнить действия 1 и 2.
Удалите содержимое перечисленных ниже каталогов (%windir% — каталог Windows).Примечание. Иногда может появляться сообщение о том, что у вас нет разрешения на доступ к папке. В таких случаях нажимайте кнопку Продолжить.
NetworkService
%windir%ServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%ServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData
LocalSystem
%windir%System32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%System32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData
Блокнот ночного сисадмина
пятница, 15 января 2016 г.
Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления сертификатов Windows службы CAPI2
Если компьютер не имеет прямого доступа в интернет, вы можете обнаружить ошибку в журнале приложений с кодом 4107:
Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления на «http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab» с ошибкой Недопустимые данные.
Обычно это связана с тем, что компьютер не может корректно обновить корневые сертификаты через сайт «windowsupdate.com«.
Возможные варианты решения проблемы:
1. Снять ограничения на прокси сервере или внешнем брандмауэре, через которые осуществляется выход в интернет.
2. В случае полной изоляции среды функционирования ОС Windows можно просто отключить обновление сертификатов двумя способами:
Первый — в реестре создайте следующие параметры:
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftSystemCertificatesAuthRoot] «DisableRootAutoUpdate»=dword:00000001
«EnableDisallowedCertAutoUpdate»=dword:00000000
Или второй — с помощью групповых политик домена Windows. Для этого импортируйте следующие .adm шаблоны:
3. Перенаправить на локальный URL-адрес автоматическое обновление сертификатов Microsoft. Для этого понадобится один сервер с полноценным выходом в интернет, который будет выкачивать списки сертификатов и предоставлять их во внутреннюю сеть. Загрузка выполняется с помощью команды «Certutil -f -syncWithWU path«, запущенной с повышенными привилегиями, где path — это путь, куда будет выгружена информация о сертификатах для дальнейшего распространения. Далее файлы можно просто расшарить средствами Windows или предоставить доступ по HTTP через IIS, Apache и т.п. На клиентских ОС производим настройку на сервер в реестре:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesAuthRootAutoUpdate]
«RootDirURL»=» FILE:// \server_with_certificatesshare»
В доменной среде удобнее выполнить настройку с помощью групповой политики. Используйте следующий .adm шаблон:
Выберите из вышеописанных способов наиболее подходящий для вашей среды.
Событие с ид 4107 или 11 регистрируется в журнале приложений
В этой статье данная статья содержит действия по решению события 4107 и события 11, зарегистрированных в журнале приложений.
Исходная версия продукта: Windows Server 2012 R2, Windows Server 2008 R2 Пакет обновления 1, Windows 7 Пакет обновления 1
Исходный номер КБ: 2328240
Симптомы
В журнале приложений регистрируются следующие сообщения об ошибках:
Имя журнала: Приложение
Источник: Microsoft-Windows-CAPI2
Date: DateTime
ИД события: 4107
Категория задач: нет
Уровень: ошибка
Ключевые слова: классическая
Пользователь: Н/А
Computer: ComputerName
Описание:
Не удалось извлечь корневой список стороне из cab-файла автоматического обновления: с ошибкой: требуемого сертификата не в течение срока действия при проверке с текущими системными часами или timestamp в подписанном http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab файле.
Имя журнала: Приложение
Источник: Microsoft-Windows-CAPI2
Date: DateTime
ИД события: 11
Категория задач: нет
Уровень: ошибка
Ключевые слова: классическая
Пользователь: Н/А
Computer: ComputerName
Описание:
Не удалось извлечь корневой список стороне из cab-файла автоматического обновления: с ошибкой: требуемого сертификата не в течение срока действия при проверке с текущими системными часами или timestamp в подписанном http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab файле.
Причина
Эта ошибка возникает из-за истечения срока действия сертификата издателя списка доверия сертификатов Майкрософт. Копия срока жизни с просроченным сертификатом подписи существует в папке CryptnetUrlCache.
Решение
Чтобы устранить проблему, выполните следующие действия.
Откройте окно командной строки. Выберите «Начните», выберите «Все программы», «Аксессуары» и выберите команду «Командная подсказка».
В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:
Команду certutil необходимо выполнить для каждого пользователя на рабочей станции. Каждый пользователь должен войти в систему и следовать шагам 1 и 2 выше.
Если просроченный сертификат кэшется в одном из локальных системных профилей, необходимо удалить содержимое некоторых каталогов с помощью проводника Windows. Для этого выполните следующие действия:
Откройте проводник. Выберите «Начните», выберите «Все программы», «Аксессуары» и выберите проводник Windows.
Необходимо включить скрытые папки для просмотра каталогов, содержимое которых необходимо удалить. Чтобы включить скрытые файлы и папки, выполните следующие действия.
- Выберите «Организация», а затем выберите папку и параметры поиска.
- Выберите вкладку «Вид».
- Выберите «Показать скрытые файлы и папки».
- Скройте расширения для известных типов файлов.
- Скройте защищенные файлы операционной системы.
- Выберите «Да», чтобы закрыть предупреждение, а затем выберите «ОК», чтобы применить изменения и закрыть диалоговое окно.
Удалите содержимое каталогов, перечисленных здесь. (%windir% — это каталог Windows.)
Вы можете получить сообщение о том, что у вас нет разрешения на доступ к папке. Если вы получили это сообщение, выберите «Продолжить».
LocalService :
%windir%ServiceProfilesLocalServiceAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%ServiceProfilesLocalServiceAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData
NetworkService :
%windir%ServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%ServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData
LocalSystem :
%windir%System32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%System32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData
Дополнительные сведения
Событие с ид 4107 также может регистрироваться с недопустимым сообщением о недопустимой ошибке вместо следующей ошибки:
Необходимый сертификат не находится в течение срока действия при проверке на текущий системный час или временную подпись в подписанной файле
Эта ошибка «Данные недействительны» указывает, что объект, возвращенный из сети, не был допустимым CAB-файлом. Поэтому Windows не удалось правильно его разлить. Экземпляры такой ошибки могут возникать, если попытка сетевого и получить CAB-файл не проходит через прокси-сервер. Если прокси-сервер возвращает некоторые данные или сообщение, а не стандартный код ошибки HTTP, Windows попытается анализировать сообщение, полученное от прокси-сервера, ожидая, что оно будет CAB-кодом. Эта ситуация не удалась с недопустимыми данными.
Чтобы устранить эту ошибку, необходимо удалить недействительные записи в кэше, с помощью очистки кэша, следуя шагам в разделе «Решение».
DenTNT.trmw.ru
Записная книжка
Windows: Microsoft-Windows-CAPI2, EventID 4107
Самостоятельное решение проблемы:
- Откройте командную строку. Для этого нажмите кнопку Пуски последовательно выберите пункты Все программы, Стандартные, Командная строка.
- В командной строке введите указанную ниже команду и нажмите клавишу ВВОД.
Примечание. Команду certutil нужно выполнить для всех пользователей рабочей станции. Каждый из них должен войти в систему и выполнить действия 1 и 2.
Если кэш сертификата с истекшим сроком действия хранится в локальных системных профилях, удалите содержимое некоторых каталогов с помощью проводника. Для этого выполните указанные ниже действия.
- Запустите проводник. Для этого нажмите кнопку Пуск и последовательно выберите пункты Все программы, Стандартные, Проводник.Примечание. Чтобы найти каталоги, содержимое которых нужно удалить, включите отображение скрытых папок. Для этого выполните указанные ниже действия.
- В меню Упорядочить выберите пункт Параметры папок и поиска .
- Откройте вкладку Вид.
- Установите флажок Показывать скрытые файлы и папки.
- Снимите флажок Скрывать расширения для зарегистрированных типов файлов.
- Снимите флажок Скрывать защищенные системные файлы.
- Закройте предупреждение, нажав кнопку Да. Чтобы применить изменения и закрыть диалоговое окно, нажмите кнопку ОК.
- Удалите содержимое перечисленных ниже каталогов (%windir% — каталог Windows).Примечание. Иногда может появляться сообщение о том, что у вас нет разрешения на доступ к папке. В таких случаях нажимайте кнопку Продолжить.
NetworkService
%windir%ServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%ServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheMetaDataLocalSystem
%windir%System32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%System32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData
Ошибка 4107 capi2 на Windows 7
Пытался поставить Acrobat Reader DC yа чистой машине под управлением Windows 7 (64-бит, русская).
Установщик Acrobat Reader DC загрузился нормально, но после 50%, когда появилась надпись «Установка», программа вывалилась с ошибкой, даже не сказав с какой. Впервые столкнулся с ошибкой в установке Acrobat Reader DC. Ставить «левую» читалку PDF-файлов как-то не хочется, переустанавливать Windows тем более. Надо исправлять…
Лезу в журнал ошибок Windows и вижу:
Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления на http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab с ошибкой Истек/не наступил срок действия требуемого сертификата при проверке по системным часам или по отметке времени в подписанном файле.
В журнале вижу код ошибки EventID 4107 и в Подробностях сообщение от Microsoft-Windows-CAPI2.
Открыл файл по ссылке, а в нём срок действия истёк много лет назад. Посмотрел на системное время и дату — всё в порядке…
Поиск по запросу Ошибка 4107 capi2 выдал кучу ссылок — ура, проблема известна. Но, нет, — до стопудово рабочего рецепта я так и не добрался…
Видел интересный способ по отключению проверки сертификатов в виндовс — наверняка это работает, но посчитал это неправильным.
В итоге, импортировал сертификаты с рабочей машины с такой же операционкой.
На рабочей машине:
1. Зашёл по пути:
C:windowssysten32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCache
И скопировал оттуда на флешку оба каталога: Content и MetaData
2. Экспортировал ветку реестра:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesAuthRootCertificates
и сохранил её под именем 4107.reg
Затем зашёл на «сломанную» машину и загрузил всё это дело на неё вот так:
0. Вынул кабель Ethernet и закрыл все прикладные программы.
1. Зашёл по пути:
C:windowssysten32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCache
и удалил оба каталога Content и MetaData (предварительно на всякий случай сохранив их копии на флешку).
2. Очистил ветку реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesAuthRootCertificates
3. Дальше хотел очистить кеш сертификатов, запустив в командной строке из-под админа:
certutil -urlcache * delete
Но, меня отвлекли и я забыл это сделать. Заработало и так, хотя это как-то неправильно…
4. Перезагрузил компьютер
5. Скопировал с флешки каталоги Content и MetaData, положив их на место удалённых по адресу: C:windowssysten32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCache
6. Запустил с флешки 4107.reg. Проверил в реестре по пути
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesAuthRootCertificates
да, там появились сертификаты…
7. На всякий случай перезагрузился ещё раз
8. Запустил установку Acrobat Reader DC.
Ура! Acrobat Reader DC установился и работает 🙂
Возможно, что есть более простой рабочий способ исправления ошибки 4107 capi2, не у всех есть под рукой другая рабочая машина. Поделитесь, кто знает 🙂
Итак, видим в журнале Window (Event Viewer) раздел Application (Приложение) множественные регистрации ошибки Event ID 4107 источник CAPI2.
В поле описания ошибки следующее:
Failed extract of third-party root list from auto update cab at: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> with error: A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file.
На момент написания статьи этой болезнью страдали Microsoft Windows Server 2008 R2, Microsoft Windows 7.
Лечим следующим методом:
1. Делаем резервную копию системы (или Точку восстановления системного раздела)
(шаг является рекомендуемым, но не обязательным);
2. Удаляем содержимое папок:
C:WindowsSystem32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheContent
C:WindowsSystem32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData
3. Удаляем все сертификаты, т.е. полностью ключ «Certificates»:
HKEY_LOCAL_MACHINESoftwareMicrosoftSystemCertificatesAuthRootCertificates
4. Перезагружаем операционную систему.
После перезагрузки ОС ключи в реестре заново создаются и в журнале Window в разделе Application (Приложение) должно быть зарегистрированно событие (Information event) c Event ID: 4097 приблизительно следующего содержания:
Successful auto update of third-party root certificate:: Subject: <CN=GTE CyberTrust Global Root, OU=»GTE CyberTrust Solutions, Inc.», O=GTE Corporation, C=US> Sha1 thumbprint: <97817950D81C9670CC34D809CF794431367EF474>.
Удачной работы!
©Автор: Сушков С.А. (соавтор: Ella Sea)
- Remove From My Forums
-
Question
-
I have this error message in my eventviewer:
Failed extract of third-party root list from auto update cab at: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> with error: A required certificate is not within its validity period when verifying against
the current system clock or the timestamp in the signed file.It freezes up the windows 7 PC whenever this occurs.
Can someone help please, I am not experienced how to correct errors listed in eventviewer.
Thanks!
Answers
-
I followed the advice of MS web site, it seemed to have fixed my problem on error 4107:
http://support.microsoft.com/kb/2328240/en-us
Thanks for everyone’s help, I surely appreciated all the replies.
Hello Olaf,
:o) I love get conflicting replies.
So please pray tell what did you do in this instance? Love to know.
- Marked as answer by
Monday, September 6, 2010 1:43 AM
- Marked as answer by
-
I have now finally resolved the CAPI2 4107 issue with following method:
Turn off UAC, restart machine and delete all files found in:
C:WindowsSystem32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheContent
C:WindowsSystem32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData
C:WindowsServiceProfilesLocalServiceAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData C:WindowsServiceProfilesLocalServiceAppDataLocalLowMicrosoftCryptnetUrlCacheContent
C:WindowsServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData C:WindowsServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheContent
C:Users*username*AppDataLocalLowMicrosoftCryptnetUrlCacheContent
C:Users*username*AppDataLocalLowMicrosoftCryptnetUrlCacheMetadata
Delete all keys under:
HKEY_LOCAL_MACHINESoftwareMicrosoftSystemCertificatesAuthRootCertificates
Turn back ON UAC, restart
- Proposed as answer by
Win7ine
Monday, September 6, 2010 8:42 PM - Marked as answer by
Leon Liu — MS
Wednesday, September 8, 2010 6:39 AM
- Proposed as answer by
- Remove From My Forums
-
Question
-
I have this error message in my eventviewer:
Failed extract of third-party root list from auto update cab at: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> with error: A required certificate is not within its validity period when verifying against
the current system clock or the timestamp in the signed file.It freezes up the windows 7 PC whenever this occurs.
Can someone help please, I am not experienced how to correct errors listed in eventviewer.
Thanks!
Answers
-
I followed the advice of MS web site, it seemed to have fixed my problem on error 4107:
http://support.microsoft.com/kb/2328240/en-us
Thanks for everyone’s help, I surely appreciated all the replies.
Hello Olaf,
:o) I love get conflicting replies.
So please pray tell what did you do in this instance? Love to know.
- Marked as answer by
Monday, September 6, 2010 1:43 AM
- Marked as answer by
-
I have now finally resolved the CAPI2 4107 issue with following method:
Turn off UAC, restart machine and delete all files found in:
C:WindowsSystem32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheContent
C:WindowsSystem32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData
C:WindowsServiceProfilesLocalServiceAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData C:WindowsServiceProfilesLocalServiceAppDataLocalLowMicrosoftCryptnetUrlCacheContent
C:WindowsServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData C:WindowsServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheContent
C:Users*username*AppDataLocalLowMicrosoftCryptnetUrlCacheContent
C:Users*username*AppDataLocalLowMicrosoftCryptnetUrlCacheMetadata
Delete all keys under:
HKEY_LOCAL_MACHINESoftwareMicrosoftSystemCertificatesAuthRootCertificates
Turn back ON UAC, restart
- Proposed as answer by
Win7ine
Monday, September 6, 2010 8:42 PM - Marked as answer by
Leon Liu — MS
Wednesday, September 8, 2010 6:39 AM
- Proposed as answer by
Table of Contents
- Applies to:
- Details
- Cause
- User action
Applies to:
Windows Server 2008, Windows Vista, Windows 7
Details
|
Product |
Windows Operating System |
|
ID |
4107 |
|
Source |
Microsoft-Windows-CAPI2 |
|
Version |
6.2 |
|
Message |
Failed extract of third-party root list from auto update cab at: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> with error: A required certificate is not within its validity period when verifying against the |
Cause
This error occurs because the Microsoft Certificate Trust List (CTL) Publisher certificate expired. A copy of the CTL with an expired signing certificate exists in the %windir%ServiceProfilesLocalServiceAppDataLocalLowMicrosoftCryptnetUrlCacheCryptnetUrlCachefolder
directory.
Event ID 4107 can also be logged with the following error message: “The data is invalid,” instead of “A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file.”
The error message “Data is invalid” indicates the object that was returned from the network was not a valid .cab file. Hence, the Windows operating system could not parse it correctly. Instances of such an error can occur when the network retrieval attempt
for the .cab file fails to go through a proxy server. If the proxy server returns some data or an error message instead of a standard HTTP error code, the Windows operating system tries to parse the received message from the proxy server, expecting it to be
the .cab file. This will fail with the error message «Data is invalid.”
User action
1. Open a Command Prompt window. (To do this, click Start, click
All Programs, click Accessories,
and then click Command Prompt.)2. At the command prompt, type the following command, and then press ENTER:
certutil -urlcache * delete
3. The certutil command must be run for every user on the workstation. Each user must log in and
follow steps 1 and 2.
If the expired certificate is cached in one of the local system profiles, you must delete the content of some directories by using Windows Explorer. To do this, follow these steps:
1. Open Windows Explorer. (To do this, click Start, click
All Programs, click Accessories,
and then click Windows Explorer.)2. Enable the following hidden folders to view the directories with content that you must delete.
3. You may receive a message that states you do not have permission to access the folder.
If you receive this message, click Continue.
LocalService:
%windir%ServiceProfilesLocalServiceAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%ServiceProfilesLocalServiceAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData
NetworkService:
%windir%ServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%ServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData
LocalSystem:
%windir%System32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%System32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData
Если компьютер не имеет прямого доступа в интернет, вы можете обнаружить ошибку в журнале
приложений
с кодом 4107:
Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления на «http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab» с ошибкой Недопустимые данные.
Обычно это связана с тем, что компьютер не может корректно обновить корневые сертификаты через сайт «windowsupdate.com«.
Возможные варианты решения проблемы:
1. Снять ограничения на прокси сервере или внешнем брандмауэре, через которые осуществляется выход в интернет.
2. В случае полной изоляции среды функционирования ОС Windows можно просто отключить обновление сертификатов двумя способами:
Первый
— в реестре создайте следующие параметры:
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftSystemCertificatesAuthRoot] «DisableRootAutoUpdate»=dword:00000001
«EnableDisallowedCertAutoUpdate»=dword:00000000
Или
второй
— с помощью групповых политик домена Windows. Для этого импортируйте следующие .adm шаблоны:
CLASS MACHINE
CATEGORY !!SystemCertificates
POLICY !!DisableRootAutoUpdate
EXPLAIN !!Certificates_config
VALUENAME "DisableRootAutoUpdate"
VALUEON NUMERIC 0
VALUEOFF NUMERIC 1
KEYNAME "SoftwarePoliciesMicrosoftSystemCertificatesAuthRoot"
END POLICY
END CATEGORY
[strings]
DisableRootAutoUpdate="Auto Root Update"
Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."
SystemCertificates="Windows AutoUpdate Settings"CLASS MACHINE
CATEGORY !!SystemCertificates
POLICY !!EnableDisallowedCertAutoUpdate
EXPLAIN !!Certificates_config
VALUENAME "EnableDisallowedCertAutoUpdate"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
KEYNAME "SoftwarePoliciesMicrosoftSystemCertificatesAuthRoot"
END POLICY
END CATEGORY
[strings]
EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"
Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."
SystemCertificates="Windows AutoUpdate Settings"
3. Перенаправить на локальный URL-адрес автоматическое обновление сертификатов Microsoft. Для этого понадобится один сервер с полноценным выходом в интернет, который будет выкачивать списки сертификатов и предоставлять их во внутреннюю сеть. Загрузка выполняется с помощью команды «Certutil -f -syncWithWU path«, запущенной с повышенными привилегиями, где path — это путь, куда будет выгружена информация о сертификатах для дальнейшего распространения. Далее файлы можно просто расшарить средствами Windows или предоставить доступ по HTTP через IIS, Apache и т.п. На клиентских ОС производим настройку на сервер в реестре:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesAuthRootAutoUpdate]
«RootDirURL»=»FILE://server_with_certificatesshare»
или
«RootDirURL»=»HTTP://server_with_certificates/share»
В доменной среде удобнее выполнить настройку с помощью групповой политики. Используйте следующий .adm шаблон:
CLASS MACHINE
CATEGORY !!SystemCertificates
KEYNAME "SoftwareMicrosoftSystemCertificatesAuthRootAutoUpdate"
POLICY !!RootDirURL
EXPLAIN !!RootDirURL_help
PART !!RootDirURL EDITTEXT
VALUENAME "RootDirURL"
END PART
END POLICY
END CATEGORY
[strings]
RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"
RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."
SystemCertificates="Windows AutoUpdate Settings"Выберите из вышеописанных способов наиболее подходящий для вашей среды.
На паре серверов с Windows Server 2008 R2 стала появляться ошибка
Все обновления с Windows Update проинсталлированы на обоих серверах.
Установка Microsoft Fix it 50531 (http://support.microsoft.com/kb/2328240)к сожалению ничего не дала.
Поискал в интернете и нашел пост на сайте Сушкова С. А. «Исправляем ошибку Event ID 4107 Application CAPI2»
http://www.vedu.ru/programming/?cont=articles&articles_id=1090
Не помогло 😦
http://social.technet.microsoft.com/wiki/contents/articles/3128.event-id-4107-microsoft-windows-capi2.aspx
Ошибка по прежнему появляется.
Сбросил настройки Microsoft Internet Explorer кнопкой Reset.
Также очистил сертификаты кнопкой Очистить SSL (Clear SSL State) — удаляет все цифровые сертификаты, хранящиеся в кэше защищенного протокола SSL.
Ошибка «на месте».
Нашел следующий вариант:
http://forum.oszone.net/nextoldesttothread-184631.html
или
http://answers.microsoft.com/en-us/windows/forum/windows_7-system/windows-7-ultimate-getting-tons-of-capi2-4107/8f6a032a-86c2-4f54-a0bb-9ea6e45384d2
Т.е. смысл в том, чтобы запустить certutil -urlcache * delete с правами System
-s Run the remote process in the System account.
Результат выполнения
Ошибка не исчезла.
Такой вариант:
http://blog.wadmin.ru/2012/06/you-install-last-updates/
Установка обновления WSUS-KB2530678-x86.exe на сервере WSUS.
Ошибка …
Установка с
http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
а не с
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
Простым языком описано: http://blog.wadmin.ru/2012/06/you-install-last-updates/
Хотя визуальный осмотр authroot.stl, который внутри authrootstl.cab, не позволил мне найти разницу %), но ошибка исчезла.
На обоих серверах событие в журнале:
Запись опубликована в рубрике Windows Server. Добавьте в закладки постоянную ссылку.
Имя журнала: приложение
Источник: Microsoft-Windows-CAPI2
Дата: дата и время
Код события: 4107
Категория задачи: нет
Уровень: ошибка
Ключевые слова: классический
Пользователь: н/д
Компьютер: имя компьютера
Описание:
Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления на <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> с ошибкой "Истек или не наступил срок действия требуемого сертификата при проверке по системным часам или по отметке времени в подписанном файле"
Самостоятельное решение проблемы:
- Откройте командную строку. Для этого нажмите кнопку Пуски последовательно выберите пункты Все программы, Стандартные, Командная строка.
- В командной строке введите указанную ниже команду и нажмите клавишу ВВОД.
certutil -urlcache * delete
Примечание. Команду certutil нужно выполнить для всех пользователей рабочей станции. Каждый из них должен войти в систему и выполнить действия 1 и 2.
- Если кэш сертификата с истекшим сроком действия хранится в локальных системных профилях, удалите содержимое некоторых каталогов с помощью проводника. Для этого выполните указанные ниже действия.
- Запустите проводник. Для этого нажмите кнопку Пуск и последовательно выберите пункты Все программы, Стандартные, Проводник.Примечание. Чтобы найти каталоги, содержимое которых нужно удалить, включите отображение скрытых папок. Для этого выполните указанные ниже действия.
- В меню Упорядочить выберите пункт Параметры папок и поиска.
- Откройте вкладку Вид.
- Установите флажок Показывать скрытые файлы и папки.
- Снимите флажок Скрывать расширения для зарегистрированных типов файлов.
- Снимите флажок Скрывать защищенные системные файлы.
- Закройте предупреждение, нажав кнопку Да. Чтобы применить изменения и закрыть диалоговое окно, нажмите кнопку ОК.
- Удалите содержимое перечисленных ниже каталогов (%windir% — каталог Windows).Примечание. Иногда может появляться сообщение о том, что у вас нет разрешения на доступ к папке. В таких случаях нажимайте кнопку Продолжить.
LocalService
%windir%ServiceProfilesLocalServiceAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%ServiceProfilesLocalServiceAppDataLocalLowMicrosoftCryptnetUrlCacheMetaDataNetworkService
%windir%ServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%ServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheMetaDataLocalSystem
%windir%System32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%System32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheMetaDatahttp://support.microsoft.com/kb/2328240
- Об авторе
- Недавние публикации
-
-
May 19 2012, 16:43
- IT
- Cancel
Имя журнала: приложение
Источник: Microsoft-Windows-CAPI2
Дата: дата и время
Код события: 4107
Категория задачи: нет
Уровень: ошибка
Ключевые слова: классический
Пользователь: н/д
Компьютер: имя компьютера
Описание:
Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления на <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> с ошибкой «Истек или не наступил срок действия требуемого сертификата при проверке по системным часам или по отметке времени в подписанном файле»
Самостоятельное решение проблемы:
- Откройте командную строку. Для этого нажмите кнопку Пуски последовательно выберите пункты Все программы, Стандартные, Командная строка.
- В командной строке введите указанную ниже команду и нажмите клавишу ВВОД.
certutil -urlcache * delete
Примечание. Команду certutil нужно выполнить для всех пользователей рабочей станции. Каждый из них должен войти в систему и выполнить действия 1 и 2.
- Если кэш сертификата с истекшим сроком действия хранится в локальных системных профилях, удалите содержимое некоторых каталогов с помощью проводника. Для этого выполните указанные ниже действия.
- Запустите проводник. Для этого нажмите кнопку Пуск и последовательно выберите пункты Все программы, Стандартные, Проводник.
Примечание. Чтобы найти каталоги, содержимое которых нужно удалить, включите отображение скрытых папок. Для этого выполните указанные ниже действия.
- В меню Упорядочить выберите пункт Параметры папок и поиска.
- Откройте вкладку Вид.
- Установите флажок Показывать скрытые файлы и папки.
- Снимите флажок Скрывать расширения для зарегистрированных типов файлов.
- Снимите флажок Скрывать защищенные системные файлы.
- Закройте предупреждение, нажав кнопку Да. Чтобы применить изменения и закрыть диалоговое окно, нажмите кнопку ОК.
- Удалите содержимое перечисленных ниже каталогов (%windir% — каталог Windows).
Примечание. Иногда может появляться сообщение о том, что у вас нет разрешения на доступ к папке. В таких случаях нажимайте кнопку Продолжить.
LocalService
%windir%ServiceProfilesLocalServiceAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%ServiceProfilesLocalServiceAppDataLocalLowMicrosoftCryptnetUrlCacheMetaDataNetworkService
%windir%ServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%ServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheMetaDataLocalSystem
%windir%System32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%System32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData
- Запустите проводник. Для этого нажмите кнопку Пуск и последовательно выберите пункты Все программы, Стандартные, Проводник.
http://support.microsoft.com/kb/2328240
- Remove From My Forums
-
Question
-
I get error events 41 (verify revocation) followed by 11 (build chain) based on the CAPI2 log every few minutes (including once each time I boot the PC) in Win 7 Home Premium 64-bit, and both refer to the file consent.exe. Here are the details for Event
41:—
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event«>—
<System>
<Provider
Name=»Microsoft-Windows-CAPI2« Guid=»{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}«
/>
<Keywords>0x4000000000000005</Keywords>
<TimeCreated
SystemTime=»2010-08-03T16:06:39.848632800Z« />
<EventRecordID>520397</EventRecordID>
<Execution
ProcessID=»1992« ThreadID=»4264«
/>
<Channel>Microsoft-Windows-CAPI2/Operational</Channel>
<Computer>Ralf-PC</Computer>
<Security
UserID=»S-1-5-21-144745434-3117752395-3347988403-1000« />
</System>—
<UserData>—
<CertVerifyRevocation>
<Certificate
fileRef=»7CB0244C7CEC5283E7EFDADF5CCC58772DD67F42.cer« subjectName=»Microsoft
Time-Stamp Service« />
<IssuerCertificate
fileRef=»375FCB825C3DC3752A02E34EB70993B4997191EF.cer« subjectName=»Microsoft
Time-Stamp PCA« />
<Flags
value=»6« CERT_VERIFY_CACHE_ONLY_BASED_REVOCATION=»true«
CERT_VERIFY_REV_ACCUMULATIVE_TIMEOUT_FLAG=»true« />
<AdditionalParameters
timeToUse=»2009-07-14T03:01:05Z« currentTime=»2010-08-03T16:06:39.833Z«
urlRetrievalTimeout=»PT20S« />
<RevocationStatus
index=»0« error=»80092013«
reason=»0« />
<EventAuxInfo
ProcessName=»consent.exe« impersonateToken=»S-1-5-21-144745434-3117752395-3347988403-1000«
/>
<CorrelationAuxInfo
TaskId=»{1DEDDADF-26EC-40C5-81BC-C6F0FA87DF56}« SeqNumber=»16«
/>
<Result value=»80092013«>The
revocation function was unable to check revocation because the revocation server was offline.</Result>
</CertVerifyRevocation>
</UserData>
</Event>«ll post the details for Event 11 in another message.
I tried various suggestions:
— extracted and installed authrootstl.cab
— installed rootsupd.exe
— deleted the content of the cryptnet content and metadata directories and the certificates registry entries under authroot
I checked the properties of consent.exe and the info matches that the file in another PC with the same OS but which does not have this error. I also used certmgr.msc to check the certificates and they match those in the second PC.
I booted the machine to safe mode and the error no longer shows up. Is it correct for me to assume that the problem is being caused by one of the programs or drivers in the PC and not consent.exe? If so, how do I use the logs to find that program
or driver?Thanks for the help.
Answers
-
Thank you for your feedback. Your situation may share some light to others that encounter the same issue. I will mark it as answer to help others get on the further direction.
Regards,
Please remember to click “Mark as Answer” on the post that helps you, and to click “Unmark as Answer” if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread. ”
-
Marked as answer by
Wednesday, September 8, 2010 1:53 PM
-
Marked as answer by
-
Again, thank you for the help. Unfortunately, my four-year-old HD crashed, so I had to buy a new HD and re-install the OS.
So far, I’ve not seen such errors in the logs for the newly installed OS.
I remember using safe mode with networking on for the previously installed OS and even did some Internet surfing, but no new entries were appearing in the CAPI2 log, errors or otherwise.
I’m guessing, then, that it must have been one of the programs I installed that caused the problem. I’ll check the log whenever I install something and see if the problem shows up. I’ll also wait for an answer from someone in another forum who solved the
problem.-
Marked as answer by
Magon Liu
Friday, August 13, 2010 3:02 AM
-
Marked as answer by
Обновлено 13.08.2020
Добрый день! Уважаемые читатели и гости одного из крупнейших IT порталов Pyatilistnik.org. В прошлый раз мы с вами успешно устраняли ошибки на сервере и одной из самых распространенных была ID 10016, которая есть практически на любом компьютере. Сегодня я хочу пополнить мою коллекцию решений по ошибкам Windows и мы разберем вот такую «ID 513 CAPI2 -Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object«. Мы рассмотрим на сколько она критичная для системы, посмотрим ее источник зарождения и сделаем логи еще чище и красивее.
Описание и причины ошибки ID 513
Делая ревизию серверов на базе Windows Server 2019, я обнаружил ошибку, ее содержимое было вот таким:
ID 513 CAPI2 — Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object. Details: AddLegacyDriverFiles: Unable to back up image of binary Microsoft Link-Layer Discovery Protocol. System Error: Access is denied.
Найти все это можно в журнале «Приложения (Application)».
Если обратиться по данной ошибке на Microsoft, то там дано вот такое пояснение причины:
Эта проблема возникает во время запуска резервного копирования системы, использующего VSS. Это часто приводит к зависанию процесса резервного копирования на длительный период времени или сбою.
Во время резервного копирования процесс VSS, запущенный под учетной записью NETWORK\SERVICE, вызывает cryptcatsvc!CSystemWriter::AddLegacyDriverFiles(), который перечисляет все записи драйверов в базе данных Service Control Manager и пытается открыть каждую из них. Функция не имеет прав на запись драйвера Microsoft Link-Layer Discovery Protocol (Mslldp.dll) и падает с ошибкой «Доступ запрещен». Оказалось, что разрешения безопасности драйвера MSLLDP не позволяют NETWORK\SERVICE получить доступ к записи драйвера.
Как устранить ошибку ID 513 CAPI2
Логично предположить, что нам нужно добавить прав, в этом нам с вами помогут две утилиты sc и accesschk64. Для начала давайте проверим. что не хватает прав у учетной записи NT AUTHORITY\SERVICE, для этого вам нужно скачать утилиту accesschk64, которая входит в состав пакета Sysinternals. Для начала мы с помощью данной утилиты посмотрим текущие разрешения для двух библиотек и сравним их:
- mslldp
- mup
Для этого нам потребуется запустить командную строку из папки, где у вас лежит утилита accesschk64 и выполнить вот такие команды:
accesschk64 -c mslldp
accesschk64 -c mup
Как можете заметить тут разница состоит в том, что у библиотеки mup , учетная запись NT AUTHORITY\SERVICE имеет права на чтение (R), именно их нам и нужно добавить для mslldp.
Следующим шагом нам нужно внести изменения в список доступа на библиотеке mslldp. Для этого нам нужно воспользоваться утилитой SC и посмотреть правильное значение. Находясь в командной строке введите команду:
Я выделил желтым значение (A;;CCLCSWLOCRRC;;;SU) именно оно и дает права чтения для NT AUTHORITY\SERVICE. Убедитесь, что в библиотеке mslldp, данное значение отсутствует:
Далее нам нужно добавить значение (A;;CCLCSWLOCRRC;;;SU) в список доступа, для этого скопируйте всю строчку с выводом для библиотеки mslldp и добавьте в самом конце недостающее значение. После чего выполните команду:
sc sdset MSLLDP D:(D;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BG)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SO)(A;;LCRPWP;;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)(A;;CCLCSWLOCRRC;;;SU)
Теперь снова проверим права на доступ к библиотекеmslldp.dll
Как видно на представленном скриншоте ниже, у нас успешно добавилась учетная запись NT AUTHORITY\SERVICE. Теперь ваши логи Windows (Журналы событий), не будут забиты ошибкой «ID 513 CAPI2 — Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object. Details: AddLegacyDriverFiles: Unable to back up image of binary Microsoft Link-Layer Discovery Protocol. System Error: Access is denied». Чем меньше красноты тем лучше, кстати легко отслеживать ошибки Windows вы можете через Windows Admin Center, поверьте очень удобно.
На этом у меня все, если у вас остались вопросы или пожелания, то я ожидаю их в комментариях. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.
- Remove From My Forums
-
Question
-
Since several days (7/11/2010) I see following errors in the event logs of Windows 7 workstations at home and work:
Failed extract of third-party root list from auto update cab at: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> with error: A required certificate is not within its validity period when verifying against
the current system clock or the timestamp in the signed file.System clock is correct, a manual download and installation does not change anything. Could ignore this, since it seems not to have a visible effect to the computers functionality, but it makes it difficult to quickly trace real errors if checking the
event log of a machine.The same error from source crypt32 in the event logs of Windows XP workstations.
So when will this be resolved?
Best greetings from Germany
Olaf
Если компьютер не имеет прямого доступа в интернет, вы можете обнаружить ошибку в журнале
приложений
с кодом 4107:
Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления на «http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab» с ошибкой Недопустимые данные.
Обычно это связана с тем, что компьютер не может корректно обновить корневые сертификаты через сайт «windowsupdate.com«.
Возможные варианты решения проблемы:
1. Снять ограничения на прокси сервере или внешнем брандмауэре, через которые осуществляется выход в интернет.
2. В случае полной изоляции среды функционирования ОС Windows можно просто отключить обновление сертификатов двумя способами:
Первый
— в реестре создайте следующие параметры:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot] «DisableRootAutoUpdate»=dword:00000001
«EnableDisallowedCertAutoUpdate»=dword:00000000
Или
второй
— с помощью групповых политик домена Windows. Для этого импортируйте следующие .adm шаблоны:
CLASS MACHINE
CATEGORY !!SystemCertificates
POLICY !!DisableRootAutoUpdate
EXPLAIN !!Certificates_config
VALUENAME "DisableRootAutoUpdate"
VALUEON NUMERIC 0
VALUEOFF NUMERIC 1
KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
END POLICY
END CATEGORY
[strings]
DisableRootAutoUpdate="Auto Root Update"
Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."
SystemCertificates="Windows AutoUpdate Settings"CLASS MACHINE
CATEGORY !!SystemCertificates
POLICY !!EnableDisallowedCertAutoUpdate
EXPLAIN !!Certificates_config
VALUENAME "EnableDisallowedCertAutoUpdate"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
END POLICY
END CATEGORY
[strings]
EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"
Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."
SystemCertificates="Windows AutoUpdate Settings"
3. Перенаправить на локальный URL-адрес автоматическое обновление сертификатов Microsoft. Для этого понадобится один сервер с полноценным выходом в интернет, который будет выкачивать списки сертификатов и предоставлять их во внутреннюю сеть. Загрузка выполняется с помощью команды «Certutil -f -syncWithWU path«, запущенной с повышенными привилегиями, где path — это путь, куда будет выгружена информация о сертификатах для дальнейшего распространения. Далее файлы можно просто расшарить средствами Windows или предоставить доступ по HTTP через IIS, Apache и т.п. На клиентских ОС производим настройку на сервер в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate]
«RootDirURL»=»FILE://\\server_with_certificates\share\»
или
«RootDirURL»=»HTTP://server_with_certificates/share»
В доменной среде удобнее выполнить настройку с помощью групповой политики. Используйте следующий .adm шаблон:
CLASS MACHINE
CATEGORY !!SystemCertificates
KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"
POLICY !!RootDirURL
EXPLAIN !!RootDirURL_help
PART !!RootDirURL EDITTEXT
VALUENAME "RootDirURL"
END PART
END POLICY
END CATEGORY
[strings]
RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"
RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."
SystemCertificates="Windows AutoUpdate Settings"Выберите из вышеописанных способов наиболее подходящий для вашей среды.