Problemas de conectividade se o certificado raiz DigiCert Global Root G2 não estiver instalado

Sintomas

Você enfrenta problemas de conectividade em uma função de ponto de conexão de serviço do Microsoft Endpoint Configuration Manager. Quando esses problemas ocorrem, você experimenta um dos seguintes sintomas:

• Durante carregamentos ou sincronizações com serviços de nuvem do Configuration Manager, você recebe as seguintes IDs de mensagem de status que indicam uma falha de comunicação:

  • 9605: DMP_UPLOADER_UPLOAD_FAILED
  • 9607: DMP_UPLOADER_UPLOAD_EXCEPTION

• A seguinte entrada de erro é registrada nos logs do Configuration Manager:

  • Falha ao verificar e carregar o certificado de assinatura de serviço. System.ArgumentException: Falha ao criar a cadeia

Motivo

Esse problema pode ocorrer se qualquer uma das seguintes condições for verdadeira:

• O mecanismo automático de certificado raiz está desabilitado.
• O certificado raiz DigiCert Global Root G2 não está instalado.
• Os certificados intermediários não são instalados no repositório de Autoridades de Certificação Intermediárias.
• Seu ambiente permite chamadas de saída apenas para downloads específicos da Lista de Revogação de Certificados (CRL) ou locais de verificação do Protocolo de Status de Certificado Online (OCSP).

Resolução

Instale os certificados raiz mais recentes. Os certificados raiz podem não ser instalados automaticamente se você estiver executando um ambiente desconectado ou se os pontos de extremidade da Internet necessários estiverem bloqueados.

Ambientes desconectados

Atualize certificados raiz confiáveis e CTLs (Listas de Certificados Confiáveis) não permitidos em ambientes desconectados.

Em ambientes desconectados, os administradores devem configurar um compartilhamento de arquivos ou um servidor Web para hospedar os arquivos internamente. As configurações de Política de Grupo também são atualizadas para que os clientes e servidores usem o compartilhamento de arquivos interno ou o servidor Web em vez do local da Internet.

Os sistemas que estão sendo executados em ambientes desconectados precisam ter as novas raízes adicionadas ao repositório de Autoridades de Certificação Raiz Confiáveis e ter os intermediários adicionados ao repositório de Autoridades de Certificação Intermediárias.

Você pode considerar seu ambiente desconectado se uma das seguintes condições for verdadeira:

• O acesso direto ao Windows Update está bloqueado.
• O mecanismo de atualização automática para CTLs confiáveis e não confiáveis está desabilitado.

Para obter informações sobre como facilitar a distribuição de certificados confiáveis ou não confiáveis para ambientes desconectados, consulte Configurar raízes confiáveis e certificados não permitidos no Windows.

Pontos de extremidade da Internet

Se você tiver um ambiente no qual as regras são definidas para permitir chamadas de saída apenas para downloads específicos da CRL (Lista de Certificados Revogados) ou locais de verificação do Protocolo de Status de Certificado Online (OCSP), deverá permitir as seguintes URLs de CRL e OCSP:

• http://crl3.digicert.com
• http://crl4.digicert.com
• http://ocsp.digicert.com
• http://www.d-trust.net
• http://root-c3-ca2-2009.ocsp.d-trust.net
• http://ctldl.windowsupdate.com
• https://mscrl.microsoft.com
• https://crl.microsoft.com
• https://oneocsp.microsoft.com
• http://ocsp.msocsp.com

Mais informações

A Microsoft mantém a lista de certificados raiz distribuídos pelo Programa de Certificados Raiz do Windows, no site do programa.

Para obter mais informações sobre o Programa de Certificado Raiz do Windows e a lista de autoridades de certificação (CAs) que são membros, consulte Notas de versão - Programa de Certificado Raiz Confiável da Microsoft.

Os mecanismos de atualização de certificado raiz estão disponíveis em diferentes versões do Windows. Isso inclui os mecanismos automáticos de atualização raiz.

Para obter mais informações sobre como atualizar a lista de certificados raiz em diferentes versões do Windows, consulte Configurar raízes confiáveis e certificados não permitidos no Windows.

Por padrão, o mecanismo de atualização raiz automática está habilitado em diferentes versões do Windows. No entanto, se esse mecanismo estiver desabilitado e o servidor do ponto de conexão de serviço não tiver o certificado raiz DigiCert Global Root G2 instalado, poderão ocorrer problemas de conectividade com os serviços de nuvem do Configuration Manager. A hierarquia local do Configuration Manager pode não ser mais capaz de acessar os serviços de nuvem do Microsoft Configuration Manager e outros recursos desse tipo.

Para obter mais informações, consulte Alterações de certificado TLS do Azure e TLS de IoT do Azure: as alterações estão chegando.

Próximas etapas

Para obter informações adicionais sobre requisitos de conectividade e solução de problemas para Configuration Manager, consulte os seguintes itens:

• Requisitos de ponto de extremidade da Internet para Configuration Manager
• Solução de problemas de atualização e manutenção do Configuration Manager