この記事では、 GetCACaps 要求が生成されていないことが IIS ログに示されている iOS デバイスでの NDES/SCEP の問題を解決するためのトラブルシューティング手順について説明します。
現象
NDES/SCEP の問題のトラブルシューティングを行うときは、IIS ログを確認し、iOS デバイスからのGetCACerts エントリ適切な (200 応答) が表示されますが、GetCACaps 要求は生成されません。 デバイス コンソールのログには、次のエラーも表示されます。
Desc : 登録機関...s 応答が無効です。 5 月 23 日 14:15:36 -iPhone profiled[150] <Error>: SecTrustEvaluate [leaf AnchorTrusted] May 23 14:14 15:42 -iPhone profiled[150] <Notice>: (Error) MC: Cannot retrieve SCEP identity: NSError: Desc : The Registration Authority...s 応答が無効です
デバイスでブラウザーを開き、 https://<NDESurl>/?operation=GetCACaps に移動すると、SSL エラーが発生する可能性があります。 ほとんどのブラウザーでは、最初は SSL 証明書が信頼されていないというメッセージが表示されます。 [詳細] にエラー ERROR_WINHTTP_SECURE_FAILUREが表示されます。
原因
この問題は、通常、次の 2 つのシナリオのいずれかが原因で発生します。
SCEP プロファイルにリンクされている Intune の信頼されたルート プロファイルにアップロードされた証明書は、NDES サーバーにインストールされている信頼されたルート証明書よりも different 証明書を使用しています。 つまり、ルート証明書は実際にはルート証明書ではなく、中間証明書です。 これが最も一般的な原因です。
Note
Android デバイスにも同様の問題がありますが、エラー メッセージは異なります。
ルート証明書または中間証明書の署名アルゴリズムは、デバイスまたは OS ではサポートされていません。 ルートまたは中間発行元 CA 証明書が使用されている場合は、署名アルゴリズム RSASSA-PSS または SHA-1 が使用されます。
ソリューション
サポートされている (より拡張された) 署名アルゴリズム (SHA256RSA など) を使用して、新しいルート証明書と中間証明書を再発行します。
Note
新しいルート証明書または中間証明書を NDES サーバーに再デプロイし、NDES 関連の証明書のいずれかが新しい信頼された証明書を参照していることを確認する必要があります。