Проблемы с подключением, если глобальный корневой сертификат G2 DigiCert не установлен
Симптомы
Возникают проблемы с подключением к роли точки подключения службы Microsoft Endpoint Configuration Manager. При возникновении этих проблем возникают следующие симптомы:
Во время отправки или синхронизации с облачными службами Configuration Manager вы получаете следующие идентификаторы сообщений о состоянии, указывающие на сбой связи:
- 9605: DMP_UPLOADER_UPLOAD_FAILED
- 9607: DMP_UPLOADER_UPLOAD_EXCEPTION
В журналах Configuration Manager регистрируется следующая запись об ошибке:
- Не удалось проверить и загрузить сертификат подписи службы. System.ArgumentException: не удалось создать цепочку
Причина
Эта проблема может возникнуть, если выполняются следующие условия:
- Автоматический механизм корневого сертификата отключен.
- Корневой сертификат Глобального корневого каталога G2 DigiCert не установлен.
- Промежуточные сертификаты не устанавливаются в хранилище промежуточных центров сертификации .
- Ваша среда разрешает исходящие вызовы только к определенным расположениям для скачивания списка отзыва сертификатов (CRL) или к расположениям проверки протокола OCSP .
Решение
Установите последние корневые сертификаты. Корневые сертификаты могут не устанавливаться автоматически, если вы используете отключенную среду или если заблокированы необходимые конечные точки Интернета.
Отключенные среды
Обновление доверенных корневых сертификатов и запрещенных списков доверия сертификатов (CTLs) в отключенных средах.
В отключенных средах администраторы должны настроить общую папку или веб-сервер для внутреннего размещения файлов. Параметры групповой политики также обновляются, чтобы клиенты и серверы использовали внутренний файловый ресурс или веб-сервер вместо расположения в Интернете.
В системах, работающих в отключенных средах, необходимо добавить новые корневые данные в хранилище доверенных корневых центров сертификации , а промежуточные — в хранилище промежуточных центров сертификации .
Вы можете считать среду отключенной, если выполняется одно из следующих условий:
- Прямой доступ к Центру обновления Windows заблокирован.
- Механизм автоматического обновления для доверенных и ненадежных списков ctls отключен.
Сведения о том, как упростить распространение доверенных или ненадежных сертификатов для отключенных сред, см. в разделе Настройка доверенных корневых и запрещенных сертификатов в Windows.
Конечные точки Интернета
Если у вас есть среда, в которой установлены правила, разрешающие исходящие вызовы только для определенных скачиваний списка отзыва сертификатов (CRL) или расположений проверки протокола OCSP , необходимо разрешить следующие URL-адреса списка отзыва сертификатов и OCSP:
http://crl3.digicert.com
http://crl4.digicert.com
http://ocsp.digicert.com
http://www.d-trust.net
http://root-c3-ca2-2009.ocsp.d-trust.net
http://ctldl.windowsupdate.com
https://mscrl.microsoft.com
https://crl.microsoft.com
https://oneocsp.microsoft.com
http://ocsp.msocsp.com
Дополнительная информация
Корпорация Майкрософт ведет список корневых сертификатов, распространяемых программой корневых сертификатов Windows, на веб-сайте программы.
Дополнительные сведения о программе корневых сертификатов Windows и списке центров сертификации, которые являются участниками, см. в статье Заметки о выпуске — программа microsoft Trusted Root Certificate Program.
Механизмы обновления корневого сертификата доступны в разных версиях Windows. Сюда входят механизмы автоматического корневого обновления.
Дополнительные сведения об обновлении списка корневых сертификатов в разных версиях Windows см. в разделе Настройка доверенных корневых и запрещенных сертификатов в Windows.
По умолчанию механизм автоматического корневого обновления включен в разных версиях Windows. Однако если этот механизм отключен и на сервере точки подключения службы не установлен корневой сертификат DigiCert Global Root G2 , могут возникнуть проблемы с подключением к облачным службам Configuration Manager . Локальная иерархия Configuration Manager может больше не иметь доступа к облачным службам Microsoft Configuration Manager и другим таким ресурсам.
Дополнительные сведения см. в разделах Изменения сертификатов AZURE TLS и Azure IoT TLS: предстоящие изменения.
Дальнейшие действия
Дополнительные сведения о требованиях к подключению и устранении неполадок для Configuration Manager см. в следующих статьях: