Проблемы с подключением, если глобальный корневой сертификат G2 DigiCert не установлен
Симптомы
Возникают проблемы с подключением к конечной точке Microsoft Configuration Manager роли точки подключения службы. При возникновении этих проблем возникают следующие симптомы:
Во время отправки или синхронизации с Configuration Manager облачными службами вы получаете следующие идентификаторы сообщений о состоянии, указывающие на сбой связи:
- 9605: DMP_UPLOADER_UPLOAD_FAILED
- 9607: DMP_UPLOADER_UPLOAD_EXCEPTION
В журналах Configuration Manager регистрируется следующая запись об ошибке:
- Не удалось проверка и загрузить сертификат подписи службы. System.ArgumentException: не удалось создать цепочку
Причина
Эта проблема может возникнуть, если выполняются следующие условия:
- Автоматический механизм корневого сертификата отключен.
- Корневой сертификат Глобального корневого каталога G2 DigiCert не установлен.
- Промежуточные сертификаты не устанавливаются в хранилище промежуточных центров сертификации .
- Ваша среда разрешает исходящие вызовы только к определенным расположениям для скачивания списка отзыва сертификатов (CRL) или к расположениям проверки протокола OCSP .
Разрешение
Установите последние корневые сертификаты. Корневые сертификаты могут не устанавливаться автоматически, если вы используете отключенную среду или если заблокированы необходимые конечные точки Интернета.
Отключенные среды
Обновление доверенных корневых сертификатов и запрет доверия сертификатов Списки (CTLs) в отключенных средах.
В отключенных средах администраторы должны настроить общую папку или веб-сервер для внутреннего размещения файлов. групповая политика параметры также обновляются, чтобы клиенты и серверы использовали внутренний файловый ресурс или веб-сервер вместо расположения в Интернете.
В системах, работающих в отключенных средах, необходимо добавить новые корневые данные в хранилище доверенных корневых центров сертификации , а промежуточные — в хранилище промежуточных центров сертификации .
Вы можете считать среду отключенной, если выполняется одно из следующих условий:
- Прямой доступ к клиентский компонент Центра обновления Windows заблокирован.
- Механизм автоматического обновления для доверенных и ненадежных списков ctls отключен.
Сведения о том, как упростить распространение доверенных или ненадежных сертификатов для отключенных сред, см. в разделе Настройка доверенных корневых и запрещенных сертификатов.
Конечные точки Интернета
Если у вас есть среда, в которой установлены правила, разрешающие исходящие вызовы только для определенных скачиваний списка отзыва сертификатов (CRL) или расположений проверки протокола OCSP , необходимо разрешить следующие URL-адреса списка отзыва сертификатов и OCSP:
http://crl3.digicert.comhttp://crl4.digicert.comhttp://ocsp.digicert.comhttp://www.d-trust.nethttp://root-c3-ca2-2009.ocsp.d-trust.nethttp://ctldl.windowsupdate.comhttps://mscrl.microsoft.comhttps://crl.microsoft.comhttps://oneocsp.microsoft.comhttp://ocsp.msocsp.com
Дополнительные сведения
Корпорация Майкрософт ведет список корневых сертификатов, распространяемых программой корневых сертификатов Windows, на веб-сайте программы.
Дополнительные сведения о программе корневых сертификатов Windows и списке центров сертификации, которые являются участниками, см. в статье Заметки о выпуске — программа microsoft Trusted Root Certificate Program.
Механизмы обновления корневого сертификата доступны в разных версиях Windows. Сюда входят механизмы автоматического корневого обновления.
Дополнительные сведения об обновлении списка корневых сертификатов в разных версиях Windows см. в разделе Настройка доверенных корневых и запрещенных сертификатов.
По умолчанию механизм автоматического корневого обновления включен в разных версиях Windows. Однако если этот механизм отключен и на сервере точки подключения службы не установлен корневой сертификат DigiCert Global Root G2, могут возникнуть проблемы с подключением к Configuration Manager облачным службам. Локальная иерархия Configuration Manager может больше не иметь доступа к Microsoft Configuration Manager облачным службам и другим таким ресурсам.
Дополнительные сведения см. в разделах Изменения сертификатов AZURE TLS и Azure IoT TLS: предстоящие изменения.
Дальнейшие действия
Дополнительные сведения о требованиях к подключению и устранении неполадок для Configuration Manager см. в следующих статьях:
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по