在 Windows 中持续报告 Crypt32 8 事件

本文可帮助解决在应用程序日志中持续报告 Crypt32 事件 8 的问题。

原始 KB 数: 2253680

现象

应用程序日志中记录了以下事件:

事件类型:错误
事件源:Crypt32
事件类别: 无
事件 ID:8
日期: <DateTime>
时间: <DateTime>
用户:无
计算机:SERVER1
说明:
无法从以下来源检索第三方根列表序列号的自动更新检索: http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt 错误:无法解析服务器名称或地址。

还可以记录以下类似事件:

事件类型:错误
事件源:Crypt32
事件类别: 无
事件 ID:8
日期: <DateTime>
时间: <DateTime>
用户:无
计算机:SERVER1
说明:
第三方根列表序列号的自动更新检索失败:出现错误: http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt 此网络连接不存在。

这些事件可以连续记录(例如每 10 分钟),或者只能在启动特定应用程序时记录这些事件。

此外,记录事件的计算机由于路由器或代理配置而未连接到Windows 更新网站。

尽管计算机上未安装任何应用程序或服务无法启动,或遇到任何操作错误,但记录了这些事件。

原因

在以下情况下,预期会出现此行为:

  • 由于路由器或代理配置,计算机无法访问Windows 更新网站。
  • 已安装一个应用程序,旨在与 Windows Vista 或更高版本上的Windows 安全应用进行交互。 示例应用程序包括第三方病毒软件、恶意软件扫描程序或防火墙产品。

解决方法

有三个选项可用于处理这些事件。

  1. 忽略这些事件。 它们是良性的,可以安全地忽略。
  2. 修改路由器或代理配置,以允许记录这些事件的计算机连接到Windows 更新。
  3. 在记录这些事件的计算机上禁用自动根更新。
    1. 在控制面板中,双击“添加/删除程序”。
    2. 单击“添加/删除 Windows 组件”。
    3. 单击可清除“更新根证书”复选框,然后继续执行 Windows 组件向导。

详细信息

Microsoft要求任何软件注册并与使用数字证书签名的Windows 安全应用进行交互,该证书链接到内部Microsoft代码签名根证书颁发机构(CA)。 此 CA 称为Microsoft代码验证根 CA(MSCV)。 Microsoft通过多个第三方代码签名 CA 对 MSCV 进行了交叉认证,使这些供应商能够继续向客户颁发有效的代码签名证书。

MSCV 证书嵌入到内核中,但它在自动受信任的根更新服务的一部分不可用。 每当检查其中一个应用程序的数字签名时,供应商的代码签名证书链将构建到颁发代码签名证书的第三方根 CA,并且通过由Microsoft颁发的跨 CA 证书也构建到 MSCV。 简言之,将生成两个链,并验证两者的有效性。

MSCV 证书未嵌入内核中,因此 Windows 确定该 CA 不受信任。 如果启用了自动受信任的根更新,则 Windows 将尝试联系Windows 更新以确定 MSCV 证书是否由Microsoft作为受信任根计划的一部分发布。 MSCV 无法通过该程序使用,因此此查找失败。

Windows 快速确定 MSCV 不受信任,并且消除了该链。 这会留下导致第三方根 CA 的另一个链,该根 CA 可能有效,从而允许成功验证应用程序的签名。 因此,没有与应用程序关联的错误或失败。

如果 Windows 可以成功联系Windows 更新,则应用程序日志中不会记录任何事件。 在Windows 更新上找不到任意不受信任的根 CA 证书是一个已处理的失败,并且不需要特殊报告。 如果启用了自动受信任的根更新,但 Windows 无法联系Windows 更新站点,则这是一个错误,需要通过上面记录的事件和错误进行报告。

这些事件不会记录在 Windows Vista 或更高版本上,因为 MSCV 证书嵌入到 Windows 内核中。 因此,MSCV 本质上是受信任的,无需在 Windows 更新 上查找证书。