Cloud Management Gateway Connection Point - "Missing Role Certificate"

Vor kurzem bin ich bei der Installation eines neuen CMG über ein Problem beim Verbindungsaufbau eines neuen Site System Server mit installierter CMG Connection Point Rolle und dem zugehörigen CMG gestoßen. Das CMG wurde laut Konsole erfolgreich installiert, allerdings blieb der Connection Status des Connection Point Servers auch nach einiger Wartezeit mit Status "Getrennt" stehen. 

Ein erster Blick in das für die Verbindung zuständige Log File (SMS_CLOUD_PROXYCONNECTOR.log) lieferte den Hinweis, dass das entsprechende Zertifikat der Rolle nicht vorhanden war.

Allerdings blieb der Status über mehrere Stunden bestehen und hat mich veranlasst etwas tiefer zu graben. Um auch anderen Menschen mit ähnlichen Problemen zu helfen, möchte ich heute kurz auf das vermeintlich fehlende Zertifikat eingehen und einen Weg aufzeigen, wie das Erstellen des benötigten Zertifikates forciert werden kann.

Sehen wir uns zunächst die vorhandenen SMS Rollen Zertifikate auf dem Site System Server an. Hier fiel auf, dass neben dem "Site System Identification" Zertifikat keine weiteren Rollen Zertifikate vorhanden waren.

Auch ein Blick ins CertMgr.log ergab keine weiteren Hinweise oder Meldung darauf, warum das entsprechende Rollen Zertifikat für die Kommunikation mit dem CMG nicht ausgestellt wurde. Da dieses allerdings zwingend für den Verbindungsaufbau und die Kommunikation benötigt wird, wollte ich dieses nun manuell erzeugen.

Um dies zu forcieren können die zuständigen Dienste "SMS_CERTIFICATE_MANAGER" und anschließend "SMS_CLOUD_SERVICES_MANAGER" über den Configuration Manager Service Manager neu gestartet werden.

Ein erneuter Blick in den SMS Certificate Store zeigt nach Aktualisierung sofort das benötigte Rollen Zertifikat.

Ebenso verschwanden die anfänglich erwähnten Einträge im Log und zeigten den erfolgreichen Verbindungsaufbau.

Warum in diesem speziellen Fall das Zertifikat auch nach mehreren Stunden Wartezeit nicht automatisch ausgestellt wurde bleibt leider unbeantwortet. Allerdings konnte ich dieses Verhalten schon mehrfach selbst beobachten und habe dies auch schon von anderen Kunden gehört. Generell gilt jedoch, dass das Ausstellen von Rollen Zertifikaten in MECM nicht immer adhoc erfolgt bzw. im Normalfall bis zu 6 Stunden dauern kann.