Anslutningsproblem om DigiCert Global Root G2-rotcertifikatet inte är installerat

  • Artikel

Symptom

Du får anslutningsproblem på en Microsoft Endpoint Configuration Manager tjänstanslutningspunktroll. När dessa problem uppstår upplever du något av följande symtom:

  • Under uppladdningar eller synkroniseringar till Configuration Manager molntjänster får du följande statusmeddelande-ID:er som indikerar ett kommunikationsfel:

    • 9605: DMP_UPLOADER_UPLOAD_FAILED
    • 9607: DMP_UPLOADER_UPLOAD_EXCEPTION

  • Följande felpost loggas i Configuration Manager-loggarna:

    • Det gick inte att kontrollera och läsa in tjänstsigneringscertifikatet. System.ArgumentException: Det går inte att skapa kedjan

Orsak

Det här problemet kan inträffa om något av följande villkor är sant:

  • Den automatiska rotcertifikatmekanismen är inaktiverad.
  • DigiCert Global Root G2-rotcertifikatet är inte installerat.
  • Mellanliggande certifikat installeras inte i arkivet Mellanliggande certifikatutfärdare .
  • Din miljö tillåter utgående anrop till endast specifika crl-nedladdningar (Certificate Revocation List) eller OCSP-verifieringsplatser (Online Certificate Status Protocol ).

Lösning

Installera de senaste rotcertifikaten. Rotcertifikaten kanske inte installeras automatiskt om du kör en frånkopplad miljö eller om nödvändiga Internetslutpunkter blockeras.

Frånkopplade miljöer

Uppdatera betrodda rotcertifikat och otillåtna listor över betrodda certifikat (CTL) i frånkopplade miljöer.

I frånkopplade miljöer måste administratörer antingen konfigurera en filresurs eller en webbserver som värd för filerna internt. grupprincip-inställningarna uppdateras också så att klienterna och servrarna använder den interna filresursen eller webbservern i stället för internetplatsen.

System som körs i frånkopplade miljöer måste lägga till de nya rötterna i arkivet Betrodda rotcertifikatutfärdare och lägga till mellanliggande resurser i arkivet Mellanliggande certifikatutfärdare .

Du kan betrakta din miljö som frånkopplad om något av följande villkor är sant:

  • Direktåtkomst till Windows Update blockeras.
  • Mekanismen för automatisk uppdatering för både betrodda och ej betrodda CTL:er är inaktiverad.

Information om hur du underlättar distributionen av betrodda eller ej betrodda certifikat för frånkopplade miljöer finns i Konfigurera betrodda rötter och otillåtna certifikat.

Internetslutpunkter

Om du har en miljö där regler är inställda på att tillåta utgående anrop till endast specifika crl-nedladdningar (Certificate Revocation List) eller OCSP-verifieringsplatser (Online Certificate Status Protocol) måste du tillåta följande CRL- och OCSP-URL:er:

  • http://crl3.digicert.com
  • http://crl4.digicert.com
  • http://ocsp.digicert.com
  • http://www.d-trust.net
  • http://root-c3-ca2-2009.ocsp.d-trust.net
  • http://ctldl.windowsupdate.com
  • https://mscrl.microsoft.com
  • https://crl.microsoft.com
  • https://oneocsp.microsoft.com
  • http://ocsp.msocsp.com

Mer information

Microsoft har en lista över rotcertifikat som distribueras av Windows rotcertifikatprogram på programmets webbplats.

Mer information om Windows rotcertifikatprogram och listan över certifikatutfärdare som är medlemmar finns i Viktig information – Microsoft Trusted Root Certificate Program.

Mekanismer för rotcertifikatuppdatering är tillgängliga i olika versioner av Windows. Detta inkluderar mekanismerna för automatisk rotuppdatering.

Mer information om hur du uppdaterar rotcertifikatlistan i olika versioner av Windows finns i Konfigurera betrodda rötter och otillåtna certifikat.

Som standard är mekanismen för automatisk rotuppdatering aktiverad i olika versioner av Windows. Men om den här mekanismen är inaktiverad och tjänstanslutningspunktservern inte har rotcertifikatet DigiCert Global Root G2 installerat kan anslutningsproblem med Configuration Manager molntjänster uppstå. Den Configuration Manager lokala hierarkin kanske inte längre kan komma åt Microsoft Configuration Manager-molntjänster och andra sådana resurser.

Mer information finns i Azure TLS-certifikatändringar och Azure IoT TLS: Ändringar kommer.

Nästa steg

Mer information om anslutningskrav och felsökning för Configuration Manager finns i följande: