Citrix のデジタル証明書は、VeriSign 社のルート証明書で署名されています。 Windows Server 2008 のルート証明書の更新機能で正しいルート証明書を自動的に取得したり更新したりできない場合、Citrix のデジタル証明書を検証できなくなります。この結果、Hotfix のインストール時に IMA サービスが起動せず、インストールに失敗します。ルート証明書の取得や更新ができない原因として、インターネットに接続できない、またはグループポリシーでこの機能が禁止されている、などが考えられます。

XenApp 5 の Hotfix でこの問題が発生すると、以下のエラーメッセージが表示されます。

「エラー26005。IMA サービスを起動できません（CTX_MF_IMA_StartIMAService State = 1）。」



この問題が発生すると、インストーラーのロールバックにも失敗し、システムの再構成が必要になる場合があります。

正しいルート証明書がインストールされていることを確認するには

Hotfixをインストールする前に、インストール先のサーバー上に正しいルート証明書が存在することを確認してください。この手順4.で「情報不足のため、この証明書を検証できません」と表示される場合、正しいルート証明書がインストールされておらず、上記の問題が発生します。

1. Hotfix のパッケージファイルを右クリックし、［プロパティ］を選択します。

2. ［デジタル署名］ タブを開きます。

3. 署名者の一覧で ［Citrix Systems, Inc］ を選択し、［詳細］をクリックします。

4. ［デジタル署名の詳細］ ダイアログボックスで、［証明書の表示］ をクリックします。システムに正しいルート証明書が存在しない場合、「情報不足のため、この証明書を検証できません」と表示されます。


 

​対策1

Windows のルート証明書の更新機能でルート証明書を自動的に更新できるように設定します。詳しくは、以下の Microsoft TechNet 情報を参照してください。

Windows Server 2008 の証明書のサポートとこれにより発生するインターネット通信
http://technet.microsoft.com/ja-jp/library/cc771121(WS.10).aspx
対策2

ルート証明書の更新機能でルート証明書を自動更新できない場合は、以下の手順で必要な VeriSign ルート証明書をインストールしてから、Hotfix をインストールします。

まず、必要なルート証明書をダウンロードします。
1. 以下のURLの「Download VeriSign, GeoTrust, and Thawte Primary PCA Root Certificates」ページにアクセスします。
https://www.verisign.com/support/roots.html

2. 「VeriSign Root Package」の下の「Download a root package」をクリックして、roots.zip ファイルをダウンロードします。

ルート証明書をダウンロードしたら、次の手順でそのルート証明書をインストールします。

1. roots.zip ファイルを展開して、内容を抽出します。

2. VeriSign Root Certificates\Generation 5 (G5) PCA フォルダーの VeriSign Class 3 Public Primary Certification Authority - G5.cer ファイルをダブルクリックして、［証明書のインストール］ をクリックします。これにより、証明書のインポートウィザードが開きます。［次へ］ をクリックします。

3. ウィザードの ［証明書ストア］ ページで、［証明書をすべて次のストアに配置する］をクリックし、［参照］ をクリックします。

4. ［証明書ストアの選択］ダイアログボックスで、［物理ストアを表示する］チェックボックスをオンにして、［信頼されたルート証明機関］ノードの［ローカルコンピュータ］を選択します。［OK］をクリックします。




5. ［次へ］をクリックして、さらに［完了］をクリックします。これにより、ルート証明書がインストールされます。

6. 上記の「正しいルート証明書がインストールされていることを確認するには」の手順に従って、ルート証明書が正しくインストールされたとこを確認します。



7. Hotfixをインストールします。



 

---

Problem Cause

Citrix では、コード署名証明書を定期的に更新しています。2011 年の新しい Citrix 証明書は、以前のものとは異なる VeriSign ルート証明書を使用して署名されています。この Citrix 証明書が使用された Hotfix をインストールするときに、正しいルート証明書がシステム上に存在するかどうかがチェックされます。ルート証明書が見つからない場合、証明書チェーンの検証時に Windows により必要なルート証明書がダウンロードされます。このルート証明書の更新機能でルート証明書を取得できない場合、証明書の検証に失敗します。これにより Hotfix のインストール時に IMA サービスが起動できなくなり、インストールに失敗します。ルート証明書の取得や更新ができない原因として、インターネットに接続できない、またはグループポリシーでこの機能が禁止されている、などが考えられます。

IMA サービスの起動時に、このサービスで使用されるいくつかのモジュールが Citrix 証明書の署名により確認されます。その確認のため、証明書チェーンの有効性が検証されます。証明書の署名に使用されたルート証明書が存在しない場合、証明書チェーンが無効になり、正しく署名されていないと判断されます。この結果、IMA サービスで使用されるモジュールも正しく署名されていないと判断され、IMA サービスの起動に失敗します。この Citrix 証明書の署名検証は、Hotfix をインストールした後でも IMA が起動するたびに実行されます。このため、新しい Citrix 証明書用の VeriSign ルート証明書は、 Hotfix をインストールした後でもシステムにインストールされている必要があります。

Windows Server 2008 のルート証明書の更新機能でルート証明書を自動更新できない場合 にHotfix のインストールに失敗する

Windows Server 2008の 証明書のサポートとこれにより発生するインターネット通信
http://technet.microsoft.com/ja-jp/library/cc771121(WS.10).aspx

この資料は米国の Knowledge Base で提供している資料をもとに作成したものです。
Document ID: CTX129998
Hotfix Installation Fails if the Update Root Certificates Feature in Windows Server 2008 Cannot Automatically Update the Root Certificates