Поделиться через


Проблемы с подключением, если корневой сертификат DigiCert Global G2 не установлен

Симптомы

Возникают проблемы с подключением к роли точки подключения службы Microsoft Endpoint Configuration Manager. При возникновении этих проблем возникает любой из следующих симптомов:

  • Во время отправки или синхронизации с облачными службами Configuration Manager отображаются следующие идентификаторы состояния, указывающие на сбой связи:

    • 9605: DMP_UPLOADER_UPLOAD_FAILED
    • 9607: DMP_UPLOADER_UPLOAD_EXCEPTION
  • Следующая запись ошибки регистрируется в журналах Configuration Manager:

    • Не удалось проверить и загрузить сертификат подписи службы. System.ArgumentException: сбой сборки цепочки

Причина

Эта проблема может возникать, если одно из следующих условий имеет значение true:

  • Механизм автоматического корневого сертификата отключен.
  • Корневой сертификат DigiCert Global G2 не установлен.
  • Промежуточные сертификаты не устанавливаются в хранилище промежуточных центров сертификации.
  • В вашей среде разрешены исходящие вызовы только для определенных скачивание списка отзыва сертификатов (CRL) или расположений проверки состояния сертификатов в Сети (OCSP).

Решение

Установите последние корневые сертификаты. Корневые сертификаты могут не устанавливаться автоматически, если вы выполняете отключенную среду или если необходимые конечные точки Интернета заблокированы.

Отключенные среды

Обновите доверенные корневые сертификаты и запрещенные списки доверия сертификатов (CTLs) в отключенных средах.

В отключенных средах администраторы должны настроить общую папку или веб-сервер для размещения файлов внутри системы. Параметры групповой политики также обновляются таким образом, чтобы клиенты и серверы использовали внутреннюю общую папку или веб-сервер вместо расположения в Интернете.

Системам, работающим в отключенных средах, необходимо добавить новые корни в хранилище доверенных корневых центров сертификации и добавить промежуточные элементы в хранилище промежуточных центров сертификации.

Вы можете рассмотреть возможность отключения среды, если одно из следующих условий имеет значение true:

  • Прямой доступ к Обновл. Windows заблокирован.
  • Механизм автоматического обновления для доверенных и ненадежных списков ctls отключен.

Сведения о том, как упростить распространение доверенных или ненадежных сертификатов для отключенных сред, см. в разделе "Настройка доверенных корней" и запрещенных сертификатов в Windows.

Конечные точки Интернета

Если у вас есть среда, в которой заданы правила для разрешения исходящих вызовов только для определенных скачивание списка отзыва сертификатов (CRL) или расположений проверки состояния онлайн-сертификатов (OCSP), необходимо разрешить следующие URL-адреса CRL и OCSP:

  • http://crl3.digicert.com
  • http://crl4.digicert.com
  • http://ocsp.digicert.com
  • http://www.d-trust.net
  • http://root-c3-ca2-2009.ocsp.d-trust.net
  • http://ctldl.windowsupdate.com
  • https://mscrl.microsoft.com
  • https://crl.microsoft.com
  • https://oneocsp.microsoft.com
  • http://ocsp.msocsp.com

Дополнительные сведения

Корпорация Майкрософт поддерживает список корневых сертификатов, распространяемых программой корневых сертификатов Windows, на веб-сайте программы.

Дополнительные сведения о программе корневых сертификатов Windows и списке центров сертификации, которые являются участниками, см . в заметках о выпуске — программа доверенных корневых сертификатов Майкрософт.

Механизмы обновления корневого сертификата доступны в разных версиях Windows. К ним относятся механизмы автоматического обновления корневого каталога.

Дополнительные сведения об обновлении списка корневых сертификатов в разных версиях Windows см. в разделе "Настройка доверенных корней" и запрещенных сертификатов в Windows.

По умолчанию механизм автоматического корневого обновления включен в разных версиях Windows. Однако если этот механизм отключен, а сервер точки подключения службы не установлен корневой сертификат DigiCert Global Root G2 , могут возникнуть проблемы с подключением к облачным службам Configuration Manager . Локальная иерархия Configuration Manager может больше не иметь доступа к облачным службам Microsoft Configuration Manager и другим таким ресурсам.

Дополнительные сведения см. в статье об изменениях сертификата TLS Azure и Azure IoT TLS: изменения будут поступать.

Следующие шаги

Дополнительные сведения о требованиях к подключению и устранении неполадок для Configuration Manager см. в следующих статьях: