Freigeben über

Sie können SCEP-Zertifikate nach einer Zertifikatverlängerung nicht auf Geräten in Intune zuweisen.

In diesem Artikel wird ein Problem behoben, bei dem Sie Geräten in Microsoft Intune nach der Verlängerung eines abgelaufenen Zertifikats keine SCEP-Zertifikate (Simple Certificate Enrollment Protocol) zuweisen können.

Wichtig

Die Details in diesem Artikel gelten nur für den Microsoft Intune Connector. Der Support für diesen Connector endet im Juli 2021, wenn er durch den Zertifikatconnector für Microsoft Intune ersetzt wird.

Wenn Sie den neuen Connector verwenden, finden Sie unter Certificate Connector for Microsoft Intune weitere Informationen zu Funktionen, Connectorstatus und Protokolldetails, einschließlich einer Liste der Protokollereignis-IDs für den neueren Connector.

Problembeschreibung

Sie verwenden Microsoft Intune zum Zuweisen von SCEP-Zertifikaten zu Geräten, die Sie verwalten. Nachdem Sie ein abgelaufenes Zertifikat erneuert haben, können den Geräten keine neuen Zertifikate zugewiesen werden. Wenn Sie die NDESPlugin.log Datei öffnen, wird das Protokoll beim Senden der Anforderung an den Zertifikatregistrierungspunkt beendet.

Wenn Sie die CAPI2-Protokollierung auf dem NDES-Server (Network Device Enrollment Service) aktivieren, wird außerdem die folgende Fehlermeldung angezeigt:

Ein erforderliches Zertifikat hat nicht über den Gültigkeitszeitraum verfügt, als dieses gegenüber der Systemzeit bzw. den Zeitstempel einer signierten Datei verifiziert wurde.

Ursache

Dieses Problem tritt auf, da das NDES-Richtlinienmodul weiterhin den Fingerabdruck eines abgelaufenen Clientauthentifizierungszertifikats verwendet. Dieses Zertifikat wurde ausgewählt, als das NDES-Richtlinienmodul oder der Intune-Zertifikatconnector zum ersten Mal installiert wurde.

Lösung

Um dieses Problem zu beheben, legen Sie das NDES-Richtlinienmodul so fest, dass das neue Zertifikat verwendet wird. Führen Sie dazu die folgenden Schritte auf dem NDES-Server aus:

  1. Dient certlm.msc zum Öffnen des zertifikatspeichers des lokalen Computers, erweitern Sie "Persönlich", und wählen Sie dann "Zertifikate" aus.

  2. Suchen Sie in der Liste der Zertifikate ein abgelaufenes Zertifikat, das die folgenden Bedingungen erfüllt:

    • Der Wert der beabsichtigten Zwecke ist die Clientauthentifizierung.
    • Der Wert von "Ausgestellt an" oder "Allgemeiner Name" entspricht dem NDES-Servernamen.

    Notiz

    Die Erweiterte Schlüsselverwendung (Extended Key Usage, EKU) der Clientauthentifizierung ist erforderlich. Ohne diese EKU gibt CertificateRegistrationSvc eine HTTP 403-Antwort auf NDESPlugin-Anforderungen zurück. Diese Antwort wird in den IIS-Protokollen protokolliert.

  3. Doppelklicken Sie auf das Zertifikat. Wählen Sie im Dialogfeld "Zertifikat " die Registerkarte "Details " aus, suchen Sie das Feld "Fingerabdruck" , und überprüfen Sie dann, ob der Wert dem Wert des HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint Registrierungsunterschlüssels entspricht.

  4. Wählen Sie 'OK' aus, um das Dialogfeld "Zertifikat " zu schließen.

  5. Klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie "Alle Aufgaben" aus, und wählen Sie dann "Zertifikat mit neuem Schlüssel anfordern" oder "Zertifikat mit neuem Schlüssel verlängern" aus.

  6. Wählen Sie auf der Seite "Zertifikatregistrierung " die Option "Weiter" aus, wählen Sie die richtige SSL-Vorlage aus, und wählen Sie dann "Weitere Informationen" aus, um sich für dieses Zertifikat zu registrieren. Klicken Sie hier, um Einstellungen zu konfigurieren.

  7. Wählen Sie im Dialogfeld "Zertifikateigenschaften " die Registerkarte "Betreff " aus, und führen Sie dann die folgenden Schritte aus:

    1. Wählen Sie unter "Antragstellername" im Dropdownfeld "Typ" die Option "Allgemeiner Name" aus. Geben Sie im Feld "Wert " den vollqualifizierten Domänennamen (FQDN) des NDES-Servers ein. Wählen Sie dann Hinzufügen aus.
    2. Wählen Sie unter "Alternativer Name" im Dropdownfeld "Typ" DNS aus. Geben Sie im Feld "Wert " den FQDN des NDES-Servers ein. Wählen Sie dann Hinzufügen aus.
    3. Wählen Sie 'OK ' aus, um das Dialogfeld 'Zertifikateigenschaften ' zu schließen.

  8. Wählen Sie "Registrieren" aus, warten Sie, bis die Registrierung erfolgreich abgeschlossen ist, und wählen Sie dann "Fertig stellen" aus.

  9. Installieren Sie den Intune-Zertifikatconnector erneut, um ihn mit dem neu erstellten Zertifikat zu verknüpfen. Weitere Informationen finden Sie unter Installieren des Zertifikats-Connectors für Microsoft Intune.

  10. Nachdem Sie die Benutzeroberfläche des Zertifikatkonnektors geschlossen haben, starten Sie den Intune-Connectordienst und den World Wide Web Publishing-Dienst neu.