Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Síntomas
Experimenta problemas de conectividad en un rol de punto de conexión de servicio de Microsoft Endpoint Configuration Manager. Cuando se producen estos problemas, experimenta cualquiera de los síntomas siguientes:
Durante las cargas o sincronizaciones con los servicios en la nube de Configuration Manager, recibirá los siguientes identificadores de mensaje de estado que indican un error de comunicaciones:
- 9605: DMP_UPLOADER_UPLOAD_FAILED
- 9607: DMP_UPLOADER_UPLOAD_EXCEPTION
La siguiente entrada de error se registra en los registros de Configuration Manager:
- No se pudo comprobar y cargar el certificado de firma de servicio. System.ArgumentException: Error en la cadena de compilación
Causa
Este problema puede producirse si se cumple alguna de las condiciones siguientes:
- El mecanismo de certificado raíz automático está deshabilitado.
- El certificado raíz G2 global de DigiCert no está instalado.
- Los certificados intermedios no se instalan en el almacén de entidades de certificación intermedias.
- El entorno permite llamadas salientes solo a descargas específicas de lista de revocación de certificados (CRL) o ubicaciones de comprobación del Protocolo de estado de certificado en línea (OCSP).
Solución
Instale los certificados raíz más recientes. Es posible que los certificados raíz no se instalen automáticamente si ejecuta un entorno desconectado o si se bloquean los puntos de conexión de Internet necesarios.
Entornos desconectados
Actualice los certificados raíz de confianza y las listas de confianza de certificados (CTL) no permitidas en entornos desconectados.
Dentro de entornos desconectados, los administradores deben configurar un recurso compartido de archivos o un servidor web para hospedar los archivos internamente. La configuración de directiva de grupo también se actualiza para que los clientes y servidores usen el recurso compartido de archivos interno o el servidor web en lugar de la ubicación de Internet.
Los sistemas que se ejecutan en entornos desconectados deben tener las nuevas raíces agregadas al almacén de entidades de certificación raíz de confianza y tener los intermedios agregados al almacén de entidades de certificación intermedias.
Puede considerar que el entorno se desconecta si se cumple alguna de las condiciones siguientes:
- El acceso directo a Windows Update está bloqueado.
- El mecanismo de actualización automática para CCL de confianza y que no son de confianza está deshabilitado.
Para obtener información sobre cómo facilitar la distribución de certificados de confianza o que no son de confianza para entornos desconectados, consulte Configuración de raíces de confianza y certificados no permitidos en Windows.
Puntos de conexión de Internet
Si tiene un entorno en el que se establecen reglas para permitir llamadas salientes solo a descargas específicas de lista de revocación de certificados (CRL) o ubicaciones de comprobación del Protocolo de estado de certificado en línea (OCSP), debe permitir las siguientes direcciones URL crL y OCSP:
http://crl3.digicert.comhttp://crl4.digicert.comhttp://ocsp.digicert.comhttp://www.d-trust.nethttp://root-c3-ca2-2009.ocsp.d-trust.nethttp://ctldl.windowsupdate.comhttps://mscrl.microsoft.comhttps://crl.microsoft.comhttps://oneocsp.microsoft.comhttp://ocsp.msocsp.com
Más información
Microsoft mantiene la lista de certificados raíz distribuidos por el Programa de certificados raíz de Windows, en el sitio web del programa.
Para obtener más información sobre el Programa de certificados raíz de Windows y la lista de entidades de certificación (CA) que son miembros, consulte Notas de la versión: Programa de certificados raíz de confianza de Microsoft.
Los mecanismos de actualización de certificados raíz están disponibles en diferentes versiones de Windows. Esto incluye los mecanismos de actualización raíz automáticas.
Para obtener más información sobre cómo actualizar la lista de certificados raíz en distintas versiones de Windows, vea Configurar certificados no permitidos y raíces de confianza en Windows.
De forma predeterminada, el mecanismo de actualización raíz automática está habilitado en diferentes versiones de Windows. Sin embargo, si este mecanismo está deshabilitado y el servidor de punto de conexión de servicio no tiene instalado el certificado raíz G2 raíz global de DigiCert, pueden producirse problemas de conectividad con los servicios en la nube de Configuration Manager . Es posible que la jerarquía local de Configuration Manager ya no pueda acceder a los servicios en la nube de Microsoft Configuration Manager y a otros recursos de este tipo.
Para más información, consulte Cambios en los certificados TLS de Azure y Tls de Azure IoT: se están llegando cambios.
Pasos siguientes
Para más información sobre los requisitos de conectividad y la solución de problemas de Configuration Manager, consulte los siguientes elementos: