Delen via


iOS SCEP-fout en er wordt geen GetCACaps-aanvraag gegenereerd

Dit artikel bevat stappen voor probleemoplossing om NDES/SCEP-problemen op iOS-apparaten op te lossen waarin IIS-logboeken laten zien dat er geen GetCACaps-aanvraag wordt gegenereerd.

Symptomen

Bij het oplossen van problemen met NDES/SCEP controleert u de IIS-logboeken en ziet u een goed (200-antwoord) GetCACerts-vermeldingen van iOS-apparaten, maar er wordt geen GetCACaps-aanvraag gegenereerd. In de logboeken van de apparaatconsole vindt u ook de volgende fouten:

Desc: De registratie-instantie... het antwoord is ongeldig. 23 mei 14:15:36 -iPhone geprofileerd[150] <Fout>: SecTrustEvaluate [leaf AnchorTrusted] 23 mei 14:15:42 -iPhone profiled[150] <Kennisgeving>: (Fout) MC: Kan SCEP-identiteit: NSError: Desc : De registratie-instantie... s-antwoord is ongeldig

Als u de browser op het apparaat opent en naar https://<NDESurl>/?operation=GetCACaps het apparaat gaat, ziet u mogelijk een SSL-fout. In de meeste browsers wordt in eerste instantie iets over het SSL-certificaat niet vertrouwd. In Meer details ziet u de fout ERROR_WINHTTP_SECURE_FAILURE.

Oorzaken

Dit probleem wordt meestal veroorzaakt door een van deze twee scenario's:

  • Het certificaat dat is geüpload naar het vertrouwde basisprofiel in Intune dat is gekoppeld aan het SCEP-profiel, gebruikt een ander certificaat dan het vertrouwde basiscertificaat dat op de NDES-server is geïnstalleerd. Met andere woorden, het basiscertificaat is niet echt een basiscertificaat, maar eerder een tussenliggend certificaat. Dit is de meest voorkomende oorzaak.

    Notitie

    Android-apparaten hebben een vergelijkbaar probleem, maar het foutbericht is anders.

  • Het handtekeningalgoritmen van het basis- of tussencertificaat worden niet ondersteund door het apparaat of besturingssysteem. Basis- of tussenliggende CA-certificaten die gebruikmaken van handtekeningalgoritme RSASSA-PSS of SHA-1.

Oplossing

Nieuwe basis- en tussencertificaten opnieuw uitgeven met een ondersteund (uitgebreider) handtekening-algoritme, zoals SHA256RSA.

Notitie

U moet de nieuwe basis-/tussencertificaten opnieuw implementeren op de NDES-server en ervoor zorgen dat een van de NDES-gerelateerde certificaten verwijst naar de nieuwe vertrouwde certificaten.