域可达性
服务器域名/IP地址应被防火墙、代理、杀毒软件、网页过滤器等列入白名单。域名列表请参见 这里。 验证域可达性 - 打开浏览器,输入 https://<domain name> 并检查https请求是否成功,无需任何用户干预。
用于根证书自动更新的额外白名单端点:
| 端点 | 端口 | 协议 | 目的 |
| ctldl.windowsupdate.com | 80 | HTTP | Microsoft 受信任根证书计划更新 |
如果无法访问此端点,则用于代理二进制文件及时间戳签名验证的根证书,如 GlobalSign 及 DigiCert 将无法自动下载,导致通信失败。
代理配置
要使代理通过代理服务器通信 - 需为远程办公室配置代理。可通过以下路径操作 Agent -> Remote Offices -> 编辑远程办公室.
注意
- 现有代理需重新安装新代理二进制文件以应用代理详情。
- 代理不会使用系统代理
- 如果代理无法访问代理服务器,将尝试无代理直接联系 Endpoint Central 服务器。
确保 TLS1.2 设置为默认通信模式
传输层安全协议 (TLS) 是用于加密网站服务器与终端之间通信的安全协议。因安全问题,已不支持1.0和1.1旧版本。TLS1.2 是与云服务器通信的强制要求 (链接)。 在某些旧版 Windows 设备(如 Windows 7、Windows Server 2008 R2、Windows Server 2012)中,默认未启用 TLS1.2。 请访问以下链接 启用 TLS1.2。
代理证书缺失于受信任证书存储区
某些代理可能通过自签证书拦截代理服务器通信。在这种情况下,必须在机器的受信任存储区安装代理根证书。随附有手动安装步骤及通过 GPO 安装证书步骤。
Windows 受信任根证书存储区缺失第三方根证书
根证书用于验证网站身份并实现与服务器的加密通信。Windows 根证书计划可自动分发可信根证书。
根证书缺失原因包括:
- 管理员从系统中移除了根证书。
- 系统未安装 Windows 根证书计划更新补丁。
- 系统无互联网连接,无法自动更新根证书。
- 系统管理员可能部署了禁用证书自动下载的 GPO 策略。
其他原因(尤其针对新配置服务器):
- A 防火墙、代理或网页过滤器阻止 ctldl.windowsupdate.com 80端口,阻止自动更新根证书。
- WSUS 配置 未启用“更新”分类,导致根证书更新无法到达终端。
- 新配置的受限网络服务器 从未有机会从 Windows Update 下载根证书——尽管同一环境下的旧服务器可能已缓存。
- 用于配置的 Windows黄金镜像 已过期,不包含较新的 GlobalSign 根证书变体(R3、R6、代码签名根 R45)。
| 注册表路径 | HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\AuthRoot |
| 注册表名称 | DisableRootAutoUpdate |
| 注册表数值 | 1 [REG_DWORD] |
以下根证书用于认证服务器域:
压缩包 (SHA 256 校验和:0086aa93316ea0ff48521433de7c6dbcb343f68578316bd216c5e9a794c24fe3)
如果部分机器缺失根证书,可手动安装证书。
GlobalSign 根 CA — 代理二进制签名验证必需
Endpoint Central 代理二进制文件 使用 GlobalSign 根 CA 层级颁发的代码签名证书进行数字签名,数字签名 使用 DigiCert 发行的时间戳机构进行时间戳验证.
为确保代理安装、升级及运行时通信正常,终端必须信任 两条 链:
| 目的 | 必需根证书 |
| 代理二进制代码签名验证 | GlobalSign 根 CA / R3 / R6 / 代码签名根 R45 |
| 时间戳对签验证 | DigiCert Trusted Root G4 / DigiCert Global Root G2 |
若任一链缺失,签名验证将失败,出现以下错误:
- “证书链已处理,但终止于受信任提供者不信任的根证书。”
- “证书的签名无法验证。”
手动导入根证书步骤
- 运行 mmc.exe.
- 选择 文件 -> 添加/删除管理单元,在管理单元列表中选择证书(certmgr)-> 添加;
- 选择管理本地计算机帐户的证书;
- 下一步 -> 确定 -> 确定;
- 展开证书节点 -> 受信任的根证书颁发机构存储。此处列出计算机上的受信根证书。
- 检查以下根证书是否存在于受信存储区:
- USERTrust RSA 证书颁发机构
- ISRG Root X1
- DigiCert Global Root G2
- DigiCert Trusted Root G4(时间戳签名验证必需)
- GlobalSign 根 CA
- GlobalSign 根 CA - R3
- GlobalSign 根 CA - R6
- GlobalSign 代码签名根 R45(代理二进制签名验证必需)
- 若上述根证书未存在于受信存储区,右键点击受信任的根证书颁发机构存储,选择 所有任务 -> 导入 将缺失证书导入受信存储区。导入以上压缩包中下载的缺失根证书。
使用 certutil 自动安装(推荐用于批量机器)
若需在多台机器上安装 GlobalSign 或 DigiCert 根证书,建议使用以下自动化方法,优于手动 MMC 导入。
前提条件: 确保目标文件夹 C:\Temp 存在。若不存在,命令会以误导性错误失败。创建方法如下:
New-Item -ItemType Directory -Path C:\Temp -Force | Out-Null
选项 A — 具备互联网访问权限机器上
New-Item -ItemType Directory -Path C:\Temp -Force | Out-Null certutil -generateSSTFromWU C:\Temp\roots.sst certutil -addstore -f root C:\Temp\roots.sst
注意:
- -generateSSTFromWU 需要对 ctldl.windowsupdate.com 的80端口进行出站互联网访问。如果机器无互联网、URL被防火墙/代理阻挡或未配置 WinHTTP 代理,则该命令失败。
- -addstore 完全离线工作;仅需本地存在 .sst 文件。
选项 B — 适用于隔离网络或防火墙限制机器
- 在具备互联网访问权限的机器上 ,以管理员身份运行:将 roots.sst 传输至受影响终端(网络共享、USB、RDP文件传输或任意批准方法)。
New-Item -ItemType Directory -Path C:\Temp -Force | Out-Null certutil -generateSSTFromWU C:\Temp\roots.sst
- 在受影响终端,以管理员身份运行:
- 选项 C — 从现有健康服务器导出
New-Item -ItemType Directory -Path C:\Temp -Force | Out-Null certutil -addstore -f root C:\Temp\roots.sst
若环境中较旧服务器已缓存所需证书(典型为之前有互联网访问的服务器),可导出信任存储并复用于新服务器:
验证命令
# On the healthy server certutil -store root C:\Temp\HealthyServerRoots.sst # On the affected server certutil -addstore -f root C:\Temp\HealthyServerRoots.sst
以管理员身份在受影响终端运行以下命令确认所需证书已存在:
若多台机器缺失根证书,可通过 GPO 安装证书。请参阅以下证书通过 GPO 安装步骤:
Get-ChildItem Cert:\LocalMachine\Root |
Where-Object { $_.Subject -match "GlobalSign|DigiCert" } |
Select-Object Subject, NotAfter, Thumbprint |
Format-Table -AutoSize链接 受信任者
