Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel bevat stappen voor probleemoplossing om NDES/SCEP-problemen op iOS-apparaten op te lossen waarin IIS-logboeken laten zien dat er geen GetCACaps-aanvraag wordt gegenereerd.
Symptomen
Bij het oplossen van problemen met NDES/SCEP controleert u de IIS-logboeken en ziet u een goed (200-antwoord) GetCACerts-vermeldingen van iOS-apparaten, maar er wordt geen GetCACaps-aanvraag gegenereerd. In de logboeken van de apparaatconsole vindt u ook de volgende fouten:
Desc: De registratie-instantie... het antwoord is ongeldig. 23 mei 14:15:36 -iPhone geprofileerd[150] <Fout>: SecTrustEvaluate [leaf AnchorTrusted] 23 mei 14:15:42 -iPhone profiled[150] <Kennisgeving>: (Fout) MC: Kan SCEP-identiteit: NSError: Desc : De registratie-instantie... s-antwoord is ongeldig
Als u de browser op het apparaat opent en naar https://<NDESurl>/?operation=GetCACaps
het apparaat gaat, ziet u mogelijk een SSL-fout. In de meeste browsers wordt in eerste instantie iets over het SSL-certificaat niet vertrouwd. In Meer details ziet u de fout ERROR_WINHTTP_SECURE_FAILURE.
Oorzaken
Dit probleem wordt meestal veroorzaakt door een van deze twee scenario's:
Het certificaat dat is geüpload naar het vertrouwde basisprofiel in Intune dat is gekoppeld aan het SCEP-profiel, gebruikt een ander certificaat dan het vertrouwde basiscertificaat dat op de NDES-server is geïnstalleerd. Met andere woorden, het basiscertificaat is niet echt een basiscertificaat, maar eerder een tussenliggend certificaat. Dit is de meest voorkomende oorzaak.
Notitie
Android-apparaten hebben een vergelijkbaar probleem, maar het foutbericht is anders.
Het handtekeningalgoritmen van het basis- of tussencertificaat worden niet ondersteund door het apparaat of besturingssysteem. Basis- of tussenliggende CA-certificaten die gebruikmaken van handtekeningalgoritme RSASSA-PSS of SHA-1.
Oplossing
Nieuwe basis- en tussencertificaten opnieuw uitgeven met een ondersteund (uitgebreider) handtekening-algoritme, zoals SHA256RSA.
Notitie
U moet de nieuwe basis-/tussencertificaten opnieuw implementeren op de NDES-server en ervoor zorgen dat een van de NDES-gerelateerde certificaten verwijst naar de nieuwe vertrouwde certificaten.