Mon collègue Romain Serre (MVP Datacenter and Cloud Management) a eu un problème sur son lab avec System Center Configuration Manager. Une partie des serveurs où le client Configuration Manager est installé, ne remontaient pas correctement dans la console d’administration.
En regardant de plus près, le Management Point rejette le client avec la cause suivante :
MP has rejected a message from client GUID:40D0641E-2114-4E56-8B89-3D36F037416A because it was not signed using the hash algorithm that is required by this site.
Possible causes: This Client is running on a Operating System that does not support the hash algorithm required by this site (or) Client is earlier than Configuration Manager 2012 or did not use the hash algorithm required by this site.
Il s’avère que les serveurs impactés comprenaient à la fois le client SCCM et l’agent SCVMM. L’agent SCVMM génère un certificat SHA-1 pour ses besoins. Dans ce scénario, le client SCCM prenait le certificat généré par SCVMM en lieu et place du certificat auto signé qu’il avait lui-même généré. SHA-1 n’est plus supporté par SCCM et d’ailleurs sera totalement non supporté l’an prochain.
Pour résoudre le problème, il existe deux solutions :
- Désactiver l’option « Use PKI client certificate (client authentication capability) when available»
- Modifier la façon dont le certificat client est sélectionné en spécifiant le magasin SMS
Il suffit ensuite de redémarrer le service de l’agent pour qu’il reprenne son fonctionnement.
