.NET Framework 4.0/4.5安装失败因根证书缺失或异常,需手动安装Microsoft根证书、启用Windows Update自动更新证书、使用离线包临时禁用吊销检查,或修复证书存储区权限。
如果您尝试在电脑上安装.NET Framework 4.0或4.5,但安装过程失败并提示与证书相关的错误(例如“无法验证发布者”、“签名无效”、“证书吊销”或“HRESULT: 0x800B0109”),则很可能是系统信任的根证书缺失、过期或被篡改。以下是解决此问题的步骤:
一、手动安装缺失的根证书
Windows 系统需信任 Microsoft 的根证书颁发机构(如 Microsoft Root Certificate Authority 2010/2011)才能验证 .NET Framework 安装包的数字签名。若该证书未存在于“受信任的根证书颁发机构”存储区,安装将中止。
1、访问 Microsoft 下载中心,搜索并下载“Microsoft Root Certificate Authority 2010”和“Microsoft Root Certificate Authority 2011”对应的 .cer 文件。
2、双击下载的 .cer 文件,在弹出窗口中点击“安装证书”。
3、在证书导入向导中,选择“本地计算机”,点击“下一步”。
4、在“证书存储”页面,选择“将所有的证书放入下列存储”,点击“浏览”,勾选受信任的根证书颁发机构,确认后点击“确定”。
5、完成导入后,重启电脑,再尝试运行 .NET Framework 安装程序。
二、启用 Windows Update 自动更新证书
Windows 可通过 Windows Update 自动获取并安装最新的根证书更新(KB3125574 或 KB3033929 等)。若系统禁用自动更新或未安装关键证书补丁,将导致签名验证失败。
1、打开“控制面板”→“系统和安全”→“Windows Update”。
2、点击“更改设置”,确保“重要更新”设置为自动下载并安装(推荐)。
3、点击“检查更新”,等待系统检测并列出可用更新。
4、在更新列表中查找包含“根证书”“Root Certificate”或编号为KB3125574、KB3033929的更新项,勾选并安装。
5、安装完成后重启系统,再次执行 .NET Framework 安装。
三、使用离线安装包并绕过证书验证(仅限可信环境)
当网络受限或证书策略严格锁定时,可采用微软官方提供的离线完整安装包,并临时调整系统策略以允许未签名内容的安装验证(需谨慎操作)。
1、从 Microsoft 官方归档站点下载 .NET Framework 4.5.2 离线安装包(NDP452-KB2901907-x86-x64-AllOS-ENU.exe),该包不依赖在线证书链验证。
2、以管理员身份运行命令提示符,输入以下命令禁用证书吊销检查(仅本次生效):certutil -setreg chain\ChainCacheResyncFiletime @now。
3、接着执行:certutil -setreg chain\MaxChainCachePolicy 1。
4、重启证书服务:运行 net stop cryptsvc && net start cryptsvc。
5、运行离线安装包,观察是否跳过证书错误并继续安装流程。
四、修复系统证书存储区权限
若当前用户或 SYSTEM 账户对“受信任的根证书颁发机构”存储区无写入权限,会导致证书无法正确部署,进而影响 .NET 安装程序的签名校验。
1、按 Win+R 输入 certlm.msc,打开本地计算机证书管理单元。
2、在左窗格展开“受信任的根证书颁发机构”→“证书”,右键点击空白处,选择“所有任务”→“管理私钥”。
3、在权限窗口中点击“添加”,输入 SYSTEM 和 Administrators,分别赋予“读取”和“读取和写入”权限。
4、关闭窗口后,重新运行 .NET Framework 安装程序。
