Проблемы с подключением, если глобальный корневой сертификат G2 DigiCert не установлен

  • Статья
  • Чтение занимает 2 мин

Симптомы

Возникают проблемы с подключением к конечной точке Microsoft Configuration Manager роли точки подключения службы. При возникновении этих проблем возникают следующие симптомы:

  • Во время отправки или синхронизации с Configuration Manager облачными службами вы получаете следующие идентификаторы сообщений о состоянии, указывающие на сбой связи:

    • 9605: DMP_UPLOADER_UPLOAD_FAILED
    • 9607: DMP_UPLOADER_UPLOAD_EXCEPTION

  • В журналах Configuration Manager регистрируется следующая запись об ошибке:

    • Не удалось проверить и загрузить сертификат подписи службы. System.ArgumentException: не удалось создать цепочку

Причина

Эта проблема может возникнуть, если выполняются следующие условия:

  • Автоматический механизм корневого сертификата отключен.
  • Корневой сертификат Глобального корневого каталога G2 DigiCert не установлен.
  • Промежуточные сертификаты не устанавливаются в хранилище промежуточных центров сертификации .
  • Ваша среда разрешает исходящие вызовы только к определенным расположениям для скачивания списка отзыва сертификатов (CRL) или к расположениям проверки протокола OCSP .

Решение

Установите последние корневые сертификаты. Корневые сертификаты могут не устанавливаться автоматически, если вы используете отключенную среду или если заблокированы необходимые конечные точки Интернета.

Отключенные среды

Обновление доверенных корневых сертификатов и запрещенных списков доверия сертификатов (CTLs) в отключенных средах.

В отключенных средах администраторы должны настроить общую папку или веб-сервер для внутреннего размещения файлов. групповая политика параметры также обновляются, чтобы клиенты и серверы использовали внутренний файловый ресурс или веб-сервер вместо расположения в Интернете.

В системах, работающих в отключенных средах, необходимо добавить новые корневые данные в хранилище доверенных корневых центров сертификации , а промежуточные — в хранилище промежуточных центров сертификации .

Вы можете считать среду отключенной, если выполняется одно из следующих условий:

  • Прямой доступ к клиентский компонент Центра обновления Windows заблокирован.
  • Механизм автоматического обновления для доверенных и ненадежных списков ctls отключен.

Сведения о том, как упростить распространение доверенных или ненадежных сертификатов для отключенных сред, см. в разделе Настройка доверенных корневых и запрещенных сертификатов.

Конечные точки Интернета

Если у вас есть среда, в которой установлены правила, разрешающие исходящие вызовы только для определенных скачиваний списка отзыва сертификатов (CRL) или расположений проверки протокола OCSP , необходимо разрешить следующие URL-адреса списка отзыва сертификатов и OCSP:

  • http://crl3.digicert.com
  • http://crl4.digicert.com
  • http://ocsp.digicert.com
  • http://www.d-trust.net
  • http://root-c3-ca2-2009.ocsp.d-trust.net
  • http://ctldl.windowsupdate.com
  • https://mscrl.microsoft.com
  • https://crl.microsoft.com
  • https://oneocsp.microsoft.com
  • http://ocsp.msocsp.com

Дополнительная информация

Корпорация Майкрософт ведет список корневых сертификатов, распространяемых программой корневых сертификатов Windows, на веб-сайте программы.

Дополнительные сведения о программе корневых сертификатов Windows и списке центров сертификации, которые являются участниками, см. в статье Заметки о выпуске — программа microsoft Trusted Root Certificate Program.

Механизмы обновления корневого сертификата доступны в разных версиях Windows. Сюда входят механизмы автоматического корневого обновления.

Дополнительные сведения об обновлении списка корневых сертификатов в разных версиях Windows см. в разделе Настройка доверенных корневых и запрещенных сертификатов.

По умолчанию механизм автоматического корневого обновления включен в разных версиях Windows. Однако если этот механизм отключен и на сервере точки подключения службы не установлен корневой сертификат DigiCert Global Root G2, могут возникнуть проблемы с подключением к Configuration Manager облачным службам. Локальная иерархия Configuration Manager может больше не иметь доступа к облачным службам Microsoft Configuration Manager и другим таким ресурсам.

Дополнительные сведения см. в разделах Изменения сертификатов AZURE TLS и Azure IoT TLS: предстоящие изменения.

Дальнейшие действия

Дополнительные сведения о требованиях к подключению и устранении неполадок для Configuration Manager см. в следующих статьях: