Validación de la configuración HTTPS para la caché conectada de Microsoft en Windows

En este artículo se proporcionan instrucciones sobre cómo validar la compatibilidad con HTTPS en nodos de Caché conectado de Microsoft para empresas y educación que se ejecutan en Windows con WSL (Subsistema de Windows para Linux).

Prueba de descargas de contenido HTTP y HTTPS

Antes de realizar las pruebas, debe identificar cómo se conectan los clientes al servidor de caché conectada. Este es el mismo método de conexión que configuró en el nombre alternativo del firmante (SAN) del certificado durante la generación de CSR.

Importante

Reemplace [mcc-connection] y [test-url] en todos los comandos siguientes

Para determinar [mcc-connection]:

• Si usó -sanIp en la CSR: use la dirección IP (por ejemplo: 192.168.1.100)
• Si usó -sanDns en la CSR: use el nombre de host (por ejemplo: mcc-server.contoso.com)

[test-url]es la ruta de acceso completa de una prueba Intune aplicación Win32:ee344de8-d177-4720-86c1-a076581766f9/070a8fd4-79a7-42c8-b7c8-9883253bb01a/c7b1b825-88b2-4e66-9b15-ff5fe0374bc6.appxbundle.bin

A continuación, ejecute los siguientes comandos curl en el equipo host de Windows (el servidor de caché conectada) para probar la recuperación de contenido HTTP y HTTPS:

• Prueba HTTPS

      curl.exe -v -o NUL "https://[mcc-connection]/[test-url]" --include -H "host:swda01-mscdn.manage.microsoft.com"
  

  Salida correcta esperada:

  * Connected to [your-server] ([ip-address]) port 443 (#0)
  * TLS 1.2 connection using TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  * Server certificate: [your-certificate-subject]
  < HTTP/1.1 200 OK
  < Content-Length: [file-size]
  

• Prueba HTTP

      curl.exe -v -o NUL "http://[mcc-connection]/[test-url]" --include -H "host:swda01-mscdn.manage.microsoft.com"
  

  Salida correcta esperada:

  * Connected to [your-server] ([ip-address]) port 80 (#0)
  < HTTP/1.1 200 OK
  < Content-Length: [file-size]
  

Validación del lado del servicio

Realice las siguientes pruebas en el equipo host de Windows:

• Pruebe la conectividad con PowerShell:

      Invoke-WebRequest -Uri "https://[mcc-connection]/[test-url]" -Headers @{"host"="swda01-mscdn.manage.microsoft.com"} -Method Head
  

  Resultado esperado:StatusCode: 200 indica una conexión HTTPS correcta.

• Compruebe los registros de optimización de distribución para ver la actividad HTTPS:

    # Search for HTTPS connections in recent logs
    Select-String -Path "C:\Windows\Logs\DeliveryOptimization\*.log" -Pattern "https://" | Select-Object -First 5
  
    # Search for your specific Connected Cache server connections
    Select-String -Path "C:\Windows\Logs\DeliveryOptimization\*.log" -Pattern "[mcc-connection]" | Select-Object -First 5
  

  Resultado esperado: Las entradas de registro que muestran direcciones URL HTTPS y la dirección del servidor de caché conectada indican que los clientes usan HTTPS correctamente.

Validación del lado cliente

Realice los siguientes comandos en un dispositivo cliente (no en el equipo host de Windows).

Requisito previo: Asegúrese de que la máquina host está destinada a través de la directiva. Actualice la dirección IP de caché conectada (el valor de la directiva "DOCacheHost") a lo que sea relevante para su entorno:

   $parentKeyPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization"
   if (!(Test-Path $parentKeyPath))
     {
        New-Item -Path $parentKeyPath -ItemType RegistryKey -Force -ErrorAction Stop | Out-Null
     }
   Set-ItemProperty -Path $parentKeyPath -Name "DOCacheHost" -Value "[mcc-connection]" -ErrorAction Stop

• Solicitar la descarga de la aplicación de Teams desde la caché conectada a través de HTTPS:

        Add-AppxPackage "https://statics.teams.cdn.office.net/production-windows-x64/enterprise/webview2/lkg/MSTeams-x64.msix"
  

  O bien,

      Add-AppxPackage "https://installer.teams.static.microsoft/production-windows-x64/25177.2002.3761.5185/MSTeams-x64.msix"
  

  Resultado esperado: La descarga se completa sin errores y debe ser más rápida que las descargas típicas de Internet.

• Compruebe que el contenido se está almacenando realmente en caché (no solo retrocediendo a la red CDN):

      Get-DeliveryOptimizationStatus | Select-Object DownloadMode, TotalBytesDownloaded, BytesFromCacheServer
  

  Resultado esperado:BytesFromCacheServer debe ser mayor que 0, lo que indica que el almacenamiento en caché se ha realizado correctamente.

Solución de problemas

Si encuentra alguno de los siguientes errores comunes durante la validación, use estos enfoques de solución de problemas:

Importante

Reemplace [mcc-connection] y [test-url] en todos los comandos siguientes

Para determinar [mcc-connection]:

• Si usó -sanIp en la CSR: use la dirección IP (por ejemplo: 192.168.1.100)
• Si usó -sanDns en la CSR: use el nombre de host (por ejemplo: mcc-server.contoso.com)

[test-url]es la ruta de acceso completa de una prueba Intune aplicación Win32:ee344de8-d177-4720-86c1-a076581766f9/070a8fd4-79a7-42c8-b7c8-9883253bb01a/c7b1b825-88b2-4e66-9b15-ff5fe0374bc6.appxbundle.bin

Errores de validación de certificados

Síntomas:SSL certificate problem, certificate subject name does not match

Prueba rápida:

   curl.exe -v -k -o NUL "https://[mcc-connection]/[test-url]"

Si la prueba se realiza correctamente: El certificado tiene problemas de validación. Compruebe que:

• La configuración de SAN coincide con el método de conexión
• El certificado raíz de ca se instala en el almacén de confianza del cliente.

Si se produce un error en la prueba: Consulte Errores de conexión a continuación.

Errores de revocación de certificados

Síntomas: Tiempos de espera o respuestas HTTPS lentos

Prueba rápida:

   curl.exe -v --ssl-no-revoke -o NUL "https://[mcc-connection]/[test-url]"

Si la prueba se realiza correctamente: No se puede acceder al punto de distribución de la lista de revocación de certificados (CRL) de la entidad de certificación. Compruebe que el firewall corporativo permite el acceso a las direcciones URL de CRL.

Si se produce un error en la prueba: Consulte Errores de conexión a continuación.

Errores de conexión

Síntomas:Connection refused, Could not resolve host

Para errores de conexión HTTPS:

• Comprobar que las reglas de firewall y el reenvío de puertos están configurados correctamente

• Compruebe que ningún otro servicio usa el puerto 443:

      netstat -an | findstr :443
  

Para errores de conexión HTTP: Compruebe que el servicio de caché conectada se está ejecutando y que el puerto 80 es accesible.

   netstat -an | findstr :80

Para problemas de resolución de DNS: Comprobación de la resolución del nombre de host y la conectividad de red

   nslookup [mcc-connection]

Interferencia de proxy corporativo

Síntomas: Se produce un error en la validación de certificados a pesar de la configuración correcta.

Solución: Asegúrese de que el proxy corporativo no intercepta el tráfico HTTPS al servidor de caché conectada. Considere la posibilidad de deshabilitar la inspección de TLS para el tráfico interno de la caché conectada.

Recursos

• Introducción a HTTPS en Windows
• Referencia de HTTPS en Windows
• Solución de problemas de caché conectada