DigiCert グローバル ルート G2 ルート証明書がインストールされていない場合の接続の問題

現象

Microsoft Endpoint Configuration Manager サービスの接続ポイントロールで接続の問題が発生します。 これらの問題が発生すると、次のいずれかの現象が発生します。

• Configuration Manager クラウド サービスへのアップロードまたは同期中に、通信エラーを示す次のステータス メッセージ ID が表示されます。

  • 9605: DMP_UPLOADER_UPLOAD_FAILED
  • 9607: DMP_UPLOADER_UPLOAD_EXCEPTION

• Configuration Manager ログには、次のエラー エントリが記録されます。

  • サービス署名証明書を確認して読み込めませんでした。 System.ArgumentException: チェーンの構築に失敗する

原因

この問題は、次のいずれかの条件に該当する場合に発生する可能性があります。

• ルート証明書の自動メカニズムが無効になっています。
• DigiCert グローバル ルート G2 ルート証明書がインストールされていません。
• 中間証明書は、 Intermediate 証明機関 ストアにインストールされていません。
• 環境では、特定の Certificate 失効リスト (CRL) への発信呼び出しのみが許可、検証場所ダウンロードまたは Online Certificate Status Protocol (OCSP))。

解決方法

最新のルート証明書をインストールします。 切断された環境を実行している場合、または必要なインターネット エンドポイントがブロックされている場合、ルート証明書が自動的にインストールされない場合があります。

切断された環境

切断された環境内で、信頼されたルート証明書と許可されていない Certificate 信頼リスト (CCTL) を更新します。

切断された環境内では、管理者はファイルを内部でホストするようにファイル共有または Web サーバーを設定する必要があります。 グループ ポリシーの設定も更新され、クライアントとサーバーはインターネット上の場所ではなく内部ファイル共有または Web サーバーを使用します。

切断された環境内で実行されているシステムでは、新しいルートを Trusted Root 証明機関 ストアに追加し、中間者を Intermediate 証明機関 ストアに追加する必要があります。

次のいずれかの条件に該当する場合は、環境が切断されたと見なすことができます。

• Windows Update への直接アクセスがブロックされています。
• 信頼された CCTL と信頼されていない CCTL の両方の自動更新メカニズムが無効になっています。

切断された環境に対する信頼された証明書または信頼されていない証明書の配布を容易にする方法については、「 信頼されたルートと許可されていない証明書を Windows で構成するを参照してください。

インターネット エンドポイント

特定の Certificate 失効リスト (CRL) ダウンロード、 またはオンライン証明書状態プロトコル (OCSP) 確認場所への送信呼び出しのみを許可するように規則が設定されている環境がある場合は、次の CRL と OCSP URL を許可する必要があります。

• http://crl3.digicert.com
• http://crl4.digicert.com
• http://ocsp.digicert.com
• http://www.d-trust.net
• http://root-c3-ca2-2009.ocsp.d-trust.net
• http://ctldl.windowsupdate.com
• https://mscrl.microsoft.com
• https://crl.microsoft.com
• https://oneocsp.microsoft.com
• http://ocsp.msocsp.com

その他の情報

Microsoft は、 Windows ルート証明書プログラムによって配布されるルート証明書の一覧をプログラム Web サイトに保持します。

Windows ルート証明書プログラムおよびメンバーである証明機関 (CA) の一覧の詳細については、「リリース ノート - Microsoft 信頼されたルート証明書プログラムを参照してください。

ルート証明書の更新メカニズムは、さまざまなバージョンの Windows で使用できます。 これには、ルートの自動更新メカニズムが含まれます。

さまざまなバージョンの Windows でルート証明書の一覧を更新する方法の詳細については、「 信頼されたルートと許可されていない証明書を Windows で構成するを参照してください。

既定では、自動ルート更新メカニズムはさまざまなバージョンの Windows で有効になっています。 ただし、このメカニズムが無効になっており、サービス接続ポイント サーバーに DigiCert Global Root G2 ルート証明書がインストールされていない場合は、 Configuration Manager クラウド サービスに関する接続の問題が発生する可能性があります。 オンプレミス階層の Configuration Manager は、 Microsoft Configuration Manager、クラウド サービス その他のリソースにアクセスできなくなる可能性があります。

詳細については、「Azure TLS 証明書の変更Azure IoT TLS: 変更の予定を参照してください。

次のステップ

Configuration Manager の接続要件とトラブルシューティングの詳細については次の項目を参照してください。

• Configuration Manager のインターネット エンドポイント要件
• Configuration Manager の更新プログラムとサービスに関する問題のトラブルシューティング