Egy kis onprem SCCM szívás megoldása, röviden.

SCCM kliensgépen a a CcmMessaging.log-ban az alábbi hibák:

“Client doesn’t have PKI issued cert and cannot get CCM access token. Error 0x8000ffff”

(A PKI oldal egyébként rendben van az SCCM infrában)

Az SCCM szerver oldalán ez látszik az mpcontrol.log-ban

“Call to HttpSendRequestSync failed for port 443 with status code 403, text: Forbidden”

Nézzünk bele az IIS logokba, hogy mi generál 403-as errort:

“CCM_POST /ccm_system_tokenauth/request – 443 – 192.168.24.16 ccmhttp – 403 16 0 1441 8”

Ami ebből érdekes, az a 403 16. Ennek jelentése: “A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.”

Továbbkeresgélve, ez egy certificate store validation hiba, amikor is a gépen a Trusted Root Certification Authorities tárolóban nem csak önaláírt (self-signed) tanúsítványok vannak. Márpedig oda csak olyannak illik kerülnie, aminél az Issuer és Subject Name megegyezik.

Powershellből le tudjuk kérni a nem oldavaló tanúsítványokat:

“Get-Childitem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject}”

Látszik is szépen a probléma (jó esetben a parancsnak semmit nem kéne visszaadnia)

Ezeket a tanúsítványokat törölni kell és a probléma megszűnik.