Agenten- und Consolestart

1

2

20

In seltenen Fällen kann es nach einem Update auf die 6.5 vorkommen, dass der ACMP Agent bzw. die Console nicht startet.

8

9

Im Folgenden werden dafür mögliche Fehlerquellen aufgezeigt sowie Vorschläge bei der Fehlersuche gemacht. Erfahren Sie dann, welche Lösungen es für den Fehler gibt, damit der Agent bzw. die Console wieder fehlerfrei startet.

10

11

= Fehler: Die Console oder der Agent startet seit dem Update auf die ACMP Version 6.5 nicht mehr =

12

13

== **Ausgangslage** ==

14

15

Mit dem Release der ACMP Version 6.5.0 wurde die Zertifikatsvalidierung aktiviert, sodass auf Systemen mit veralteten Zertifikaten nach einem Update auf die 6.5.0 der Start der ACMP Console oder des ACMP Agenten verhindert wird. Sollte dies bei Ihnen der Fall sein, können die Gründe dafür ein nicht aktualisiertes Root-Zertifikat, eine nicht vertrauenswürdige Einstufung des Root-Zertifikats oder eine nicht aktualisierte Gegensignatur sein.

16

17

Liegt einer dieser Gründe bei Ihnen vor, dann kann eine Gruppenrichtlinie verantwortlich sein, die eine automatische Aktualisierung der Zertifikate unterbindet.

18

19

Hier wird erklärt, wie Sie vorab prüfen, ob das Startproblem an ungültigen Zertifikaten liegt und wie Die ggf. die Gruppenrichtlinie ändern, welche eine automatische Aktualisierung der Zertifikate unterbindet. Außerdem wird ein manueller Lösungsansatz aufgezeigt, welcher einen Export von einem Gerät mit validen Zertifikaten zu einem Import dieser auf dem betroffenen System ermöglicht.

20

21

Gehen Sie folgendermaßen vor:

22

23

== **Lösung 1: Zertifikate auf ihre Gültigkeit prüfen** ==

24

25

~1. Gehen Sie in das ACMP Client-Verzeichnis \Program Files (x86)\ACMP Client\ und öffnen Sie per rechter Maustaste die Eigenschaften der //ACMPClientService.exe//.

26

2. Wechseln Sie in den Tab //Digitale Signaturen//.

27

3. Führen Sie einen Doppelklick auf das Zertifikat aus. Ist das Zertifikat valide, steht dies unter //Allgemein.//

28

29

30

(% style="text-align:center" %)

31

[[image:65_Use Case Zertifikat_gültiges Zertifikat_404.png]]

32

33

34

Prüfung des Zertifikatsstatus

Wird Ihnen das Zertifikat als ungültig angezeigt, dann liegt der Grund häufig bei einem ebenfalls ungültigen Root-Zertifikat des Zertifizierungspfades. Den Status des Root-Zertifikats sollten Sie auch prüfen:

39

40

~1. Führen Sie die oben beschriebenen Schritte 1-3 aus.

41

2. Klicken Sie im Bereich //Signaturgeberinformationen// auf //Zertifikat anzeigen//.

42

43

44

(% style="text-align:center" %)

45

[[image:65_Use Case Zertifikat_Root Zertifikat.png]]

46

47

48

Root-Zertifikat anzeigen lassen

3. Wechseln Sie im neu geöffneten Fenster zum Tab //Zertifizierungspfad//.

53

4. Sie können nun den gesamten Zertifizierungspfad und somit die Herkunft des Root-Zertifikats einsehen sowie den Status des Zertifikats.

54

55

56

(% style="text-align:center" %)

57

[[image:65_Use Case Zertifikat_gültiges Root Zertifikat.png]]

58

59

60

Den Status des Root-Zertifikats prüfen

Außerdem sollte der Status der Gegensignatur ebenfalls valide sein:

65

66

~1. Führen Sie die oben beschriebenen Schritte 1-3 aus.

67

2. Führen Sie einen Doppelklick auf das Zertifikat unter //Gegensignaturen// aus.

68

3. Klicken Sie im Bereich //Signaturgeberinformationen// auf //Zertifikat anzeigen//.

69

4. Wechseln Sie im neu geöffneten Fenster zum Tab //Zertifizierungspfad//.

70

5. Sie können nun den gesamten Zertifizierungspfad der Gegensignatur und somit die Herkunft einsehen sowie den Status des Zertifikats.

71

72

73

(% style="text-align:center" %)

74

[[image:65_Use Case Zertifikat_gültige Gegensignatur.png]]

75

76

77

Den Status der Gegensignatur prüfen

Diese Zertifikatsprüfungen beziehen sich auf die ACMPClientService.exe. Um eine vollständige Prüfung durchzuführen, müssen Sie den Vorgang für folgende Dateien wiederholen, die ebenfalls im ACMP Client-Verzeichnis \Program Files (x86)\ACMP Client\ vorzufinden sind:

82

83

|=Datei

84

|Sectigo - Aagon.Core.AgentUninstall.dll

85

|Entrust (2048) - Aagon.CustomImages.ClientModule.dll

86

|GlobalSign Root CA - R6 - Aagon.Defender.Management.ClientModule.dll

87

|Sectigo (AAA) - libcryptop-1_1.dll

88

|Sectigo - libcryptop-1_1.dll

89

90

Sollten alle diese Zertifikate gültig sein, dann hat das Startproblem der Console oder des Agenten andere Gründe.

91

92

Sollten diese Zertifikate jedoch ungültig sein, so haben Sie 2 Möglichkeiten, vorzugehen:

93

94

== **Lösung 2: Registrykey prüfen und ggf. die Gruppenrichtlinie ändern** ==

95

96

~1. In der Regel ist in diesem Problemfall folgender Registrykey gesetzt:

97

98

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\AuthRoot DisableRootAutoUpdate (1).

99

100

101

Der Wert (1) bedeutet, dass die automatische Aktualisierung der Zertifikate deaktiviert ist. Sie können hier den Wert (1) auf (0) setzen, Sie müssen jedoch auf jeden Fall trotzdem eine Änderung in der Gruppenrichtlinie vornehmen, damit die Änderung greift. Eine nicht richtig gesetzte Einstellung in der Gruppenrichtlinie würde den neu gesetzten Wert des Registrykeys überschreiben!

102

103

104

2. Navigieren Sie in den Gruppenrichtlinien-Editor zu //Administrative// //Vorlagen > System > Internetkommunikationsverwaltung > Internetkommunikationseinstellungen.//

105

106

107

(% style="text-align:center" %)

[[image:GPO.PNG]]

Editor für die Gruppenrichtlinien öffnen

3. Gehen Sie mit einem Doppelklick in die Einstellungen der GPO //Automatisches Update von Stammzertifikaten deaktivieren.//

116

117

4. Setzen Sie das Häkchen auf //Deaktiviert//. Mit dieser Einstellung aktivieren Sie die automatische Aktualisierung der Zertifikate.

118

119

120

(% style="text-align:center" %)

121

[[image:6.5_Use Case Zertifikat_GPO aktiviert.png]]

122

123

124

Die Einstellung der Gruppenrichtlinie zu "Deaktiviert" ändern

5. Ggf. muss ein System-Neustart durchgeführt werden, damit der ACMP Client Dienst wieder startet.

130

131

== **Lösung 3: Manueller Export und Import von validen Zertifikaten** ==

132

133

Sie können auch einen manuellen Lösungsansatz verfolgen, indem Sie einen Export von den gültigen Zertifikaten von einem Gerät durchführen und diese auf dem betroffenen System importieren.

134

135

~1. Führen Sie in einer administrativen CMD folgenden Befehl aus: certutil.exe -generateSSTfromWU c:\temp\root.sst

136

2. Führen Sie dann folgenden Befehl in einer administrativen PowerShell auf dem betroffenen Gerät aus: Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root -FilePath "C:\temp\root.sst"

137

3. Ggf. muss ein System-Neustart durchgeführt werden, damit der ACMP Client Dienst wieder startet.

Wiki-Quellcode von Agenten- und Consolestart

Navigation

author	version	line-number	content
		1	{{aagon.priorisierung}}
		2	20
		3	{{/aagon.priorisierung}}
		4
		5	{{aagon.floatingbox/}}
		6
		7	In seltenen Fällen kann es nach einem Update auf die 6.5 vorkommen, dass der ACMP Agent bzw. die Console nicht startet.
		8
		9	Im Folgenden werden dafür mögliche Fehlerquellen aufgezeigt sowie Vorschläge bei der Fehlersuche gemacht. Erfahren Sie dann, welche Lösungen es für den Fehler gibt, damit der Agent bzw. die Console wieder fehlerfrei startet.
		10
		11	= Fehler: Die Console oder der Agent startet seit dem Update auf die ACMP Version 6.5 nicht mehr =
		12
		13	== Ausgangslage ==
		14
		15	Mit dem Release der ACMP Version 6.5.0 wurde die Zertifikatsvalidierung aktiviert, sodass auf Systemen mit veralteten Zertifikaten nach einem Update auf die 6.5.0 der Start der ACMP Console oder des ACMP Agenten verhindert wird. Sollte dies bei Ihnen der Fall sein, können die Gründe dafür ein nicht aktualisiertes Root-Zertifikat, eine nicht vertrauenswürdige Einstufung des Root-Zertifikats oder eine nicht aktualisierte Gegensignatur sein.
		16
		17	Liegt einer dieser Gründe bei Ihnen vor, dann kann eine Gruppenrichtlinie verantwortlich sein, die eine automatische Aktualisierung der Zertifikate unterbindet.
		18
		19	Hier wird erklärt, wie Sie vorab prüfen, ob das Startproblem an ungültigen Zertifikaten liegt und wie Die ggf. die Gruppenrichtlinie ändern, welche eine automatische Aktualisierung der Zertifikate unterbindet. Außerdem wird ein manueller Lösungsansatz aufgezeigt, welcher einen Export von einem Gerät mit validen Zertifikaten zu einem Import dieser auf dem betroffenen System ermöglicht.
		20
		21	Gehen Sie folgendermaßen vor:
		22
		23	== Lösung 1: Zertifikate auf ihre Gültigkeit prüfen ==
		24
		25	~1. Gehen Sie in das ACMP Client-Verzeichnis \Program Files (x86)\ACMP Client\ und öffnen Sie per rechter Maustaste die Eigenschaften der //ACMPClientService.exe//.
		26	2. Wechseln Sie in den Tab //Digitale Signaturen//.
		27	3. Führen Sie einen Doppelklick auf das Zertifikat aus. Ist das Zertifikat valide, steht dies unter //Allgemein.//
		28
		29	{{figure}}
		30	(% style="text-align:center" %)
		31	[[image:65_Use Case Zertifikat_gültiges Zertifikat_404.png]]
		32
		33	{{figureCaption}}
		34	Prüfung des Zertifikatsstatus
		35	{{/figureCaption}}
		36	{{/figure}}
		37
		38	Wird Ihnen das Zertifikat als ungültig angezeigt, dann liegt der Grund häufig bei einem ebenfalls ungültigen Root-Zertifikat des Zertifizierungspfades. Den Status des Root-Zertifikats sollten Sie auch prüfen:
		39
		40	~1. Führen Sie die oben beschriebenen Schritte 1-3 aus.
		41	2. Klicken Sie im Bereich //Signaturgeberinformationen// auf //Zertifikat anzeigen//.
		42
		43	{{figure}}
		44	(% style="text-align:center" %)
		45	[[image:65_Use Case Zertifikat_Root Zertifikat.png]]
		46
		47	{{figureCaption}}
		48	Root-Zertifikat anzeigen lassen
		49	{{/figureCaption}}
		50	{{/figure}}
		51
		52	3. Wechseln Sie im neu geöffneten Fenster zum Tab //Zertifizierungspfad//.
		53	4. Sie können nun den gesamten Zertifizierungspfad und somit die Herkunft des Root-Zertifikats einsehen sowie den Status des Zertifikats.
		54
		55	{{figure}}
		56	(% style="text-align:center" %)
		57	[[image:65_Use Case Zertifikat_gültiges Root Zertifikat.png]]
		58
		59	{{figureCaption}}
		60	Den Status des Root-Zertifikats prüfen
		61	{{/figureCaption}}
		62	{{/figure}}
		63
		64	Außerdem sollte der Status der Gegensignatur ebenfalls valide sein:
		65
		66	~1. Führen Sie die oben beschriebenen Schritte 1-3 aus.
		67	2. Führen Sie einen Doppelklick auf das Zertifikat unter //Gegensignaturen// aus.
		68	3. Klicken Sie im Bereich //Signaturgeberinformationen// auf //Zertifikat anzeigen//.
		69	4. Wechseln Sie im neu geöffneten Fenster zum Tab //Zertifizierungspfad//.
		70	5. Sie können nun den gesamten Zertifizierungspfad der Gegensignatur und somit die Herkunft einsehen sowie den Status des Zertifikats.
		71
		72	{{figure}}
		73	(% style="text-align:center" %)
		74	[[image:65_Use Case Zertifikat_gültige Gegensignatur.png]]
		75
		76	{{figureCaption}}
		77	Den Status der Gegensignatur prüfen
		78	{{/figureCaption}}
		79	{{/figure}}
		80
		81	Diese Zertifikatsprüfungen beziehen sich auf die ACMPClientService.exe. Um eine vollständige Prüfung durchzuführen, müssen Sie den Vorgang für folgende Dateien wiederholen, die ebenfalls im ACMP Client-Verzeichnis \Program Files (x86)\ACMP Client\ vorzufinden sind:
		82
		83	\|=Datei
		84	\|Sectigo - Aagon.Core.AgentUninstall.dll
		85	\|Entrust (2048) - Aagon.CustomImages.ClientModule.dll
		86	\|GlobalSign Root CA - R6 - Aagon.Defender.Management.ClientModule.dll
		87	\|Sectigo (AAA) - libcryptop-1_1.dll
		88	\|Sectigo - libcryptop-1_1.dll
		89
		90	Sollten alle diese Zertifikate gültig sein, dann hat das Startproblem der Console oder des Agenten andere Gründe.
		91
		92	Sollten diese Zertifikate jedoch ungültig sein, so haben Sie 2 Möglichkeiten, vorzugehen:
		93
		94	== Lösung 2: Registrykey prüfen und ggf. die Gruppenrichtlinie ändern ==
		95
		96	~1. In der Regel ist in diesem Problemfall folgender Registrykey gesetzt:
		97
		98	HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\AuthRoot DisableRootAutoUpdate (1).
		99
		100	{{aagon.infobox}}
		101	Der Wert (1) bedeutet, dass die automatische Aktualisierung der Zertifikate deaktiviert ist. Sie können hier den Wert (1) auf (0) setzen, Sie müssen jedoch auf jeden Fall trotzdem eine Änderung in der Gruppenrichtlinie vornehmen, damit die Änderung greift. Eine nicht richtig gesetzte Einstellung in der Gruppenrichtlinie würde den neu gesetzten Wert des Registrykeys überschreiben!
		102	{{/aagon.infobox}}
		103
		104	2. Navigieren Sie in den Gruppenrichtlinien-Editor zu //Administrative// //Vorlagen > System > Internetkommunikationsverwaltung > Internetkommunikationseinstellungen.//
		105
		106	{{figure}}
		107	(% style="text-align:center" %)
		108	[[image:GPO.PNG]]
		109
		110	{{figureCaption}}
		111	Editor für die Gruppenrichtlinien öffnen
		112	{{/figureCaption}}
		113	{{/figure}}
		114
		115	3. Gehen Sie mit einem Doppelklick in die Einstellungen der GPO //Automatisches Update von Stammzertifikaten deaktivieren.//
		116
		117	4. Setzen Sie das Häkchen auf //Deaktiviert//. Mit dieser Einstellung aktivieren Sie die automatische Aktualisierung der Zertifikate.
		118
		119	{{figure}}
		120	(% style="text-align:center" %)
		121	[[image:6.5_Use Case Zertifikat_GPO aktiviert.png]]
		122
		123	{{figureCaption}}
		124	Die Einstellung der Gruppenrichtlinie zu "Deaktiviert" ändern
		125	{{/figureCaption}}
		126	{{/figure}}
		127
		128
		129	5. Ggf. muss ein System-Neustart durchgeführt werden, damit der ACMP Client Dienst wieder startet.
		130
		131	== Lösung 3: Manueller Export und Import von validen Zertifikaten ==
		132
		133	Sie können auch einen manuellen Lösungsansatz verfolgen, indem Sie einen Export von den gültigen Zertifikaten von einem Gerät durchführen und diese auf dem betroffenen System importieren.
		134
		135	~1. Führen Sie in einer administrativen CMD folgenden Befehl aus: certutil.exe -generateSSTfromWU c:\temp\root.sst
		136	2. Führen Sie dann folgenden Befehl in einer administrativen PowerShell auf dem betroffenen Gerät aus: Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root -FilePath "C:\temp\root.sst"
		137	3. Ggf. muss ein System-Neustart durchgeführt werden, damit der ACMP Client Dienst wieder startet.