Delen via

Problemen met communicatie tussen apparaten en NDES-servers oplossen voor SCEP-certificaatprofielen in Microsoft Intune

  • Artikel

Gebruik de volgende informatie om te bepalen of een apparaat dat een Intune SCEP-certificaatprofiel (Simple Certificate Enrollment Protocol) heeft ontvangen en verwerkt, contact kan opnemen met NDES (Network Device Enrollment Service) om een uitdaging te presenteren. Op het apparaat wordt een persoonlijke sleutel gegenereerd en worden de aanvraag voor certificaatondertekening (CSR) en de uitdaging van het apparaat doorgegeven aan de NDES-server. Om contact op te maken met de NDES-server, gebruikt het apparaat de URI van het SCEP-certificaatprofiel.

Dit artikel verwijst naar stap 2 van het overzicht van de SCEP-communicatiestroom.

IIS-logboeken controleren voor een verbinding vanaf het apparaat

IIS-logboekbestanden (Internet Information Services) bevatten hetzelfde type vermeldingen voor alle platforms.

  1. Open op de NDES-server het meest recente IIS-logboekbestand in de volgende map: %SystemDrive%\inetpub\logs\logfiles\w3svc1

  2. Zoek in het logboek naar vermeldingen die vergelijkbaar zijn met de volgende voorbeelden. Beide voorbeelden bevatten een status 200, die aan het einde wordt weergegeven:

    fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACaps&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 186 0.

    En

    fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACert&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 3567 0

  3. Wanneer het apparaat verbinding maakt met IIS, wordt een HTTP GET-aanvraag voor mscep.dll geregistreerd.

    Controleer de statuscode aan het einde van deze aanvraag:

    Als de verbindingsaanvraag helemaal niet wordt geregistreerd, wordt de contactpersoon van het apparaat mogelijk geblokkeerd in het netwerk tussen het apparaat en de NDES-server.

Apparaatlogboeken controleren op verbindingen met NDES

Android-apparaten

Bekijk het OMADM-logboek van apparaten. Zoek naar vermeldingen die lijken op de volgende voorbeelden, die worden geregistreerd wanneer het apparaat verbinding maakt met NDES:

2018-02-27T05:16:08.2500000  VERB  Event  com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager  18327    10  There are 1 requests
2018-02-27T05:16:08.2500000  VERB  Event  com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager  18327    10  Trying to enroll certificate request: ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c;Hash=1677525787
2018-02-27T05:16:09.5530000  VERB  Event  org.jscep.transport.UrlConnectionGetTransport  18327    10  Sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:14.6440000  VERB  Event  org.jscep.transport.UrlConnectionGetTransport  18327    10  Received '200 OK' when sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.8220000  VERB  Event  org.jscep.message.PkiMessageEncoder  18327     10 Encoding message: org.jscep.message.PkcsReq@2b06f45f[messageData=org.<server>.pkcs.PKCS10CertificationRequest@699b3cd,messageType=PKCS_REQ,senderNonce=Nonce [D447AE9955E624A56A09D64E2B3AE76E],transId=251E592A777C82996C7CF96F3AAADCF996FC31FF]
2018-02-27T05:16:21.8790000  VERB  Event  org.jscep.message.PkiMessageEncoder  18327     10  Signing pkiMessage using key belonging to [dn=CN=<uesrname>; serial=1]
2018-02-27T05:16:21.9580000  VERB  Event  org.jscep.transaction.EnrollmentTransaction  18327     10  Sending org.<server>.cms.CMSSignedData@ad57775

Belangrijke vermeldingen zijn de volgende voorbeeldteksttekenreeksen:

  • Er zijn 1 aanvragen
  • '200 OK' ontvangen bij het verzenden van GetCACaps(ca) naar https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
  • PkiMessage ondertekenen met behulp van de sleutel van [dn=CN=<username>; serial=1]

De verbinding wordt ook vastgelegd door IIS in de map %SystemDrive%\inetpub\logs\LogFiles\W3SVC1\ van de NDES-server. Hieronder ziet u een voorbeeld:

fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACert&message=ca 443 - 
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 3909 0
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACaps&message=ca 443 - 
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 421

iOS-/iPadOS-apparaten

Bekijk het foutenlogboek voor apparaten. Zoek naar vermeldingen die lijken op de volgende voorbeelden, die worden geregistreerd wanneer het apparaat verbinding maakt met NDES:

debug    18:30:53.691033 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\ 
debug    18:30:54.640644 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
default    18:30:55.483977 -0500    profiled    Attempting to retrieve issued certificate...\ 
debug    18:30:55.487798 -0500    profiled    Sending CSR via GET.\  
debug    18:30:55.487908 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=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

Belangrijke vermeldingen zijn de volgende voorbeeldteksttekenreeksen:

  • operation=GetCACert
  • Poging om een uitgegeven certificaat op te halen
  • CSR verzenden via GET
  • operation=PKIOperation

Windows-apparaten

Op een Windows-apparaat dat verbinding maakt met NDES, kunt u de apparaten bekijken die Windows Logboeken en zoeken naar aanwijzingen van een geslaagde verbinding. Connections worden geregistreerd als gebeurtenis-id 36 in het apparaatlogboek DeviceManagement-Enterprise-Diagnostics-Provide>Beheer.

Het logboek openen:

  1. Voer op het apparaat eventvwr.msc uit om Windows Logboeken te openen.

  2. Vouw Toepassingen en serviceslogboeken>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Beheer uit.

  3. Zoek naar gebeurtenis 36, die lijkt op het volgende voorbeeld, met de sleutelregel van SCEP: Certificaataanvraag gegenereerd:

    Event ID:      36
Task Category: None
Level:         Information
Keywords:
User:          <UserSid>
Computer:      <Computer Name>
Description:
SCEP: Certificate request generated successfully. Enhanced Key Usage: (1.3.6.1.5.5.7.3.2), NDES URL: (https://<server>/certsrv/mscep/mscep.dll/pkiclient.exe), Container Name: (), KSP Setting: (0x2), Store Location: (0x1).

Problemen met statuscode 500 oplossen

Connections die lijken op het volgende voorbeeld, met een statuscode van 500, geven aan dat het gebruikersrecht Een client imiteren na verificatie niet is toegewezen aan de IIS_IUSRS groep op de NDES-server. De statuswaarde van 500 wordt aan het einde weergegeven:

2017-08-08 20:22:16 IP_address GET /certsrv/mscep/mscep.dll operation=GetCACert&message=SCEP%20Authority 443 - 10.5.14.22 profiled/1.0+CFNetwork/811.5.4+Darwin/16.6.0 - 500 0 1346 31

Voer de volgende stappen uit om dit probleem op te lossen:

  1. Voer op de NDES-server secpol.msc uit om het lokale beveiligingsbeleid te openen.
  2. Vouw Lokaal beleid uit en selecteer vervolgens Toewijzing van gebruikersrechten.
  3. Dubbelklik in het rechterdeelvenster op Een client imiteren na verificatie .
  4. Selecteer Gebruiker of groep toevoegen..., typ IIS_IUSRS in het vak De objectnamen invoeren om te selecteren en selecteer vervolgens OK.
  5. Selecteer OK.
  6. Start de computer opnieuw op en probeer opnieuw verbinding te maken vanaf het apparaat.

De URL van de SCEP-server testen en problemen oplossen

Gebruik de volgende stappen om de URL te testen die is opgegeven in het SCEP-certificaatprofiel.

  1. Bewerk in Intune uw SCEP-certificaatprofiel en kopieer de server-URL. De URL moet er ongeveer uitzien als https://contoso.com/certsrv/mscep/mscep.dll.

  2. Open een webbrowser en blader naar die SCEP-server-URL. Het resultaat moet zijn: HTTP-fout 403.0 : verboden. Dit resultaat geeft aan dat de URL correct werkt.

    Als u deze fout niet ontvangt, selecteert u de koppeling die lijkt op de fout die u ziet om probleemspecifieke richtlijnen weer te geven:

Algemeen NDES-bericht

Wanneer u naar de URL van de SCEP-server bladert, ontvangt u het volgende bericht over de registratieservice voor netwerkapparaten:

Schermopname van het bericht Registratieservice voor netwerkapparaten.

  • Oorzaak: dit probleem is meestal een probleem met de installatie van de Microsoft Intune Connector.

    Mscep.dll is een ISAPI-extensie die binnenkomende aanvragen onderschept en de HTTP 403-fout weergeeft als deze correct is geïnstalleerd.

    Oplossing: Controleer het SetupMsi.log-bestand om te bepalen of Microsoft Intune Connector is geïnstalleerd. In het volgende voorbeeld is de installatie voltooid en de installatie geslaagd of foutstatus: 0 geven een geslaagde installatie aan:

    MSI (c) (28:54) [16:13:11:905]: Product: Microsoft Intune Connector -- Installation completed successfully.
MSI (c) (28:54) [16:13:11:999]: Windows Installer installed the product. Product Name: Microsoft Intune Connector. Product Version: 6.1711.4.0. Product Language: 1033. Manufacturer: Microsoft Corporation. Installation success or error status: 0.

    Als de installatie mislukt, verwijdert u de Microsoft Intune Connector en installeert u deze opnieuw. Als de installatie is geslaagd en u het algemene NDES-bericht blijft ontvangen, voert u de opdracht iisreset uit om IIS opnieuw te starten.

HTTP-fout 503

Wanneer u naar de URL van de SCEP-server bladert, ontvangt u het volgende foutbericht:

Schermopname van HTTP-fout 503. De service is niet beschikbaar.

Dit probleem komt meestal doordat de SCEP-toepassingsgroep in IIS niet is gestart. Open IIS-beheer op de NDES-server en ga naar Toepassingsgroepen. Zoek de SCEP-toepassingsgroep en controleer of deze is gestart.

Als de SCEP-toepassingsgroep niet is gestart, controleert u het gebeurtenislogboek van de toepassing op de server:

  1. Voer op het apparaat eventvwr.msc uit om Logboeken te openen en naar windows-logboekentoepassing> te gaan.

  2. Zoek naar een gebeurtenis die vergelijkbaar is met het volgende voorbeeld, wat betekent dat de groep van toepassingen vastloopt wanneer een aanvraag wordt ontvangen:

    Log Name:      Application
Source:        Application Error
Event ID:      1000
Task Category: Application Crashing Events
Level:         Error
Keywords:      Classic
Description: Faulting application name: w3wp.exe, version: 8.5.9600.16384, time stamp: 0x5215df96
Faulting module name: ntdll.dll, version: 6.3.9600.18821, time stamp: 0x59ba86db
Exception code: 0xc0000005

Veelvoorkomende oorzaken voor een crash van een groep van toepassingen

  • Oorzaak 1: Er zijn tussenliggende CA-certificaten (niet zelfondertekend) in het certificaatarchief vertrouwde basiscertificeringsinstanties van de NDES-server.

    Oplossing: Verwijder tussenliggende certificaten uit het certificaatarchief vertrouwde basiscertificeringsinstanties en start de NDES-server opnieuw op.

    Voer de volgende PowerShell-cmdlet uit om alle tussenliggende certificaten in het certificaatarchief vertrouwde basiscertificeringsinstanties te identificeren: Get-Childitem -Path cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject}

    Een certificaat met dezelfde waarden Uitgegeven aan en Uitgegeven door , is een basiscertificaat. Anders is het een tussenliggend certificaat.

    Nadat u de certificaten hebt verwijderd en de server opnieuw hebt opgestart, voert u de PowerShell-cmdlet opnieuw uit om te bevestigen dat er geen tussenliggende certificaten zijn. Als dat zo is, controleert u of een groepsbeleid de tussenliggende certificaten naar de NDES-server pusht. Als dat het zo is, sluit u de NDES-server uit van de groepsbeleid en verwijdert u de tussenliggende certificaten opnieuw.

  • Oorzaak 2: De URL's in de certificaatintrekkingslijst (CRL) zijn geblokkeerd of onbereikbaar voor de certificaten die worden gebruikt door de Intune Certificate Connector.

    Oplossing: schakel aanvullende logboekregistratie in om meer informatie te verzamelen:

    1. Open Logboeken, selecteer Weergave en zorg ervoor dat de optie Analyse- en foutopsporingslogboeken weergeven is ingeschakeld.
    2. Ga naar Toepassingen en serviceslogboeken>Microsoft>Windows>CAPI2>Operationeel, klik met de rechtermuisknop op Operationeel en selecteer logboek inschakelen.
    3. Nadat CAPI2-logboekregistratie is ingeschakeld, reproduceert u het probleem en onderzoekt u het gebeurtenislogboek om het probleem op te lossen.

  • Oorzaak 3: Voor IIS-machtigingen voor CertificateRegistrationSvc is Windows-verificatie ingeschakeld.

    Oplossing: Schakel anonieme verificatie in en schakel Windows-verificatie uit en start de NDES-server opnieuw op.

    Schermopname van de machtigingen anonieme verificatie en Windows-verificatie.

  • Oorzaak 4: Het NDESPolicy-modulecertificaat is verlopen.

    In het CAPI2-logboek (zie oplossing van oorzaak 2) worden fouten weergegeven met betrekking tot het certificaat waarnaar wordt verwezen omdat HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint het buiten de geldigheidsperiode van het certificaat valt.

    Oplossing: Vernieuw het certificaat en installeer de connector opnieuw.

    1. Gebruik certlm.msc om het certificaatarchief van de lokale computer te openen, vouw Persoonlijk uit en selecteer certificaten.

    2. Zoek in de lijst met certificaten een verlopen certificaat dat voldoet aan de volgende voorwaarden:

      • De waarde van Beoogde doeleinden is Clientverificatie.
      • De waarde van Uitgegeven aan of Algemene naam komt overeen met de naam van de NDES-server.

      Opmerking

      Het uitgebreide sleutelgebruik (EKU) voor clientverificatie is vereist. Zonder deze EKU retourneert CertificateRegistrationSvc een HTTP 403-antwoord op NDESPlugin-aanvragen. Dit antwoord wordt vastgelegd in de IIS-logboeken.

    3. Dubbelklik op het certificaat. Selecteer in het dialoogvenster Certificaat het tabblad Details , zoek het veld Vingerafdruk en controleer of de waarde overeenkomt met de waarde van de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint registersubsleutel.

    4. Selecteer OK om het dialoogvenster Certificaat te sluiten.

    5. Klik met de rechtermuisknop op het certificaat, selecteer Alle taken en selecteer vervolgens Certificaat aanvragen met nieuwe sleutel of Certificaat vernieuwen met nieuwe sleutel.

    6. Selecteer op de pagina Certificaatinschrijvingde optie Volgende, selecteer de juiste SSL-sjabloon en selecteer vervolgens Meer informatie is vereist voor inschrijving voor dit certificaat. Klik hier om instellingen te configureren.

    7. Selecteer in het dialoogvenster Certificaateigenschappen het tabblad Onderwerp en voer de volgende stappen uit:

      1. Selecteer onder Onderwerpnaam in de vervolgkeuzelijst Typede optie Algemene naam. Voer in het vak Waarde de FQDN (Fully Qualified Domain Name) van de NDES-server in. Selecteer vervolgens Toevoegen.
      2. Selecteer onder Alternatieve naam in de vervolgkeuzelijst Typede optie DNS. Voer in het vak Waarde de FQDN van de NDES-server in. Selecteer vervolgens Toevoegen.
      3. Selecteer OK om het dialoogvenster Certificaateigenschappen te sluiten.

    8. Selecteer Inschrijven, wacht totdat de inschrijving is voltooid en selecteer vervolgens Voltooien.

    9. Installeer de Intune Certificate Connector opnieuw om deze te koppelen aan het zojuist gemaakte certificaat. Zie De certificaatconnector voor Microsoft Intune installeren voor meer informatie.

    10. Nadat u de gebruikersinterface van de certificaatconnector hebt gesloten, start u de Intune Connector-service en de World Wide Web Publishing Service opnieuw.

GatewayTimeout

Wanneer u naar de URL van de SCEP-server bladert, ontvangt u het volgende foutbericht:

Schermopname van de gatewaytimeout-fout.

  • Oorzaak: de connectorservice voor Microsoft Entra toepassingsproxy is niet gestart.

    Oplossing: voer services.msc uit en controleer of de connectorservice Microsoft Entra toepassingsproxy wordt uitgevoerd en of Opstarttype is ingesteld op Automatisch.

HTTP 414-aanvraag-URI te lang

Wanneer u naar de URL van de SCEP-server bladert, ontvangt u het volgende foutbericht: HTTP 414 Request-URI Too Long

  • Oorzaak: IIS-aanvraagfiltering is niet geconfigureerd ter ondersteuning van de lange URL's (query's) die de NDES-service ontvangt. Deze ondersteuning wordt geconfigureerd wanneer u de NDES-service configureert voor gebruik met uw infrastructuur voor SCEP.

  • Oplossing: ondersteuning voor lange URL's configureren.

    1. Open IIS-beheer op de NDES-server, selecteer Standaardfiltering van websiteAanvraag>filteren>Functie-instelling bewerken om de pagina Instellingen voor aanvraagfiltering bewerken te openen.

    2. Configureer de volgende instellingen:

      • Maximale URL-lengte (bytes) = 65534
      • Maximum aantal querytekenreeksen (bytes) = 65534

    3. Selecteer OK om deze configuratie op te slaan en IIS-beheer te sluiten.

    4. Valideer deze configuratie door de volgende registersleutel te zoeken om te controleren of deze de aangegeven waarden heeft:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

      De volgende waarden zijn ingesteld als DWORD-vermeldingen:

      • Naam: MaxFieldLength, met een decimale waarde van 65534
      • Naam: MaxRequestBytes, met een decimale waarde van 65534

    5. Start de NDES-server opnieuw op.

Deze pagina kan niet worden weergegeven

U hebt Microsoft Entra toepassingsproxy geconfigureerd. Wanneer u naar de URL van de SCEP-server bladert, ontvangt u het volgende foutbericht:

This page can't be displayed

  • Oorzaak: dit probleem treedt op wanneer de externe URL van SCEP onjuist is in de configuratie van de toepassingsproxy. Een voorbeeld van deze URL is https://contoso.com/certsrv/mscep/mscep.dll.

    Oplossing: Gebruik het standaarddomein van yourtenant.msappproxy.net voor de externe SCEP-URL in de toepassingsproxy-configuratie.

500 - Interne serverfout

Wanneer u naar de URL van de SCEP-server bladert, ontvangt u het volgende foutbericht:

Schermopname van de fout 500 - Interne server.

  • Oorzaak 1: het NDES-serviceaccount is vergrendeld of het wachtwoord is verlopen.

    Oplossing: Ontgrendel het account of stel het wachtwoord opnieuw in.

  • Oorzaak 2: De MSCEP-RA-certificaten zijn verlopen.

    Oplossing: Als de MSCEP-RA-certificaten zijn verlopen, installeert u de NDES-rol opnieuw of vraagt u nieuwe certificaten voor CEP-versleuteling en Exchange-inschrijvingsagent (offlineaanvraag) aan.

    Voer de volgende stappen uit om nieuwe certificaten aan te vragen:

    1. Open de MMC van certificaatsjablonen op de certificeringsinstantie (CA) of de verlenende CA. Zorg ervoor dat de aangemelde gebruiker en de NDES-server lees- en inschrijvingsmachtigingen hebben voor de certificaatsjablonen CEP-versleuteling en Exchange Enrollment Agent (offlineaanvraag).

    2. Controleer de verlopen certificaten op de NDES-server en kopieer de onderwerpinformatie uit het certificaat.

    3. Open het MMC-account Certificaten voor computer.

    4. Vouw Persoonlijk uit, klik met de rechtermuisknop op Certificaten en selecteer vervolgens Alle taken>Nieuw certificaat aanvragen.

    5. Selecteer op de pagina Certificaat aanvragende optie CEP-versleuteling en selecteer vervolgens Meer informatie is vereist voor inschrijving voor dit certificaat. Klik hier om instellingen te configureren.

      Schermopname van de pagina Certificaat aanvragen, waar CEP-versleuteling is geselecteerd.

    6. Selecteer in Certificaateigenschappen het tabblad Onderwerp , vul de onderwerpnaam in met de gegevens die u tijdens stap 2 hebt verzameld, selecteer Toevoegen en selecteer vervolgens OK.

    7. Voltooi de certificaatinschrijving.

    8. Open de MMC Certificaten voor Mijn gebruikersaccount.

      Wanneer u zich inschrijft voor het certificaat exchange-inschrijvingsagent (offlineaanvraag), moet dit worden gedaan in de gebruikerscontext. Omdat het onderwerptype van deze certificaatsjabloon is ingesteld op Gebruiker.

    9. Vouw Persoonlijk uit, klik met de rechtermuisknop op Certificaten en selecteer vervolgens Alle taken>Nieuw certificaat aanvragen.

    10. Selecteer op de pagina Certificaat aanvragende optie Exchange-inschrijvingsagent (offlineaanvraag) en selecteer vervolgens Meer informatie is vereist voor inschrijving voor dit certificaat. Klik hier om instellingen te configureren.

      Schermopname van de pagina Certificaat aanvragen, waar exchange-inschrijvingsagent (offlineaanvraag) is geselecteerd.

    11. Selecteer in Certificaateigenschappen het tabblad Onderwerp , vul de onderwerpnaam in met de informatie die u tijdens stap 2 hebt verzameld en selecteer Toevoegen.

      Schermopname van het tabblad Onderwerp in het venster Certificaateigenschappen.

      Selecteer het tabblad Persoonlijke sleutel , selecteer Persoonlijke sleutel exporteerbaar maken en selecteer vervolgens OK.

      Schermopname van het tabblad Persoonlijke sleutel in het venster Certificaateigenschappen.

    12. Voltooi de certificaatinschrijving.

    13. Exporteer het certificaat van de Exchange-inschrijvingsagent (offlineaanvraag) uit het huidige gebruikerscertificaatarchief. Selecteer in de wizard Certificaat exporteren de optie Ja, de persoonlijke sleutel exporteren.

    14. Importeer het certificaat in het certificaatarchief van de lokale machine.

    15. Voer in de MMC Certificaten de volgende actie uit voor elk van de nieuwe certificaten:

      Klik met de rechtermuisknop op het certificaat, selecteer Alle taken>Persoonlijke sleutels beheren en voeg leesmachtiging toe aan het NDES-serviceaccount.

    16. Voer de opdracht iisreset uit om IIS opnieuw te starten.

Volgende stappen

Als het apparaat de NDES-server bereikt om de certificaataanvraag te presenteren, is de volgende stap het controleren van de beleidsmodule Intune Certificaatconnectors.