Невозможно назначить сертификаты SCEP устройствам в Intune после продления сертификата.

В этой статье устранена проблема, из-за которой вы не можете назначить сертификаты протокола SCEP для устройств в Microsoft Intune после продления сертификата с истекшим сроком действия.

Внимание

Сведения в этой статье относятся только к соединителю Microsoft Intune. Поддержка этого соединителя заканчивается в июле 2021 года, когда он заменен соединителем сертификатов для Microsoft Intune.

Если вы используете новый соединитель, ознакомьтесь со сведениями о возможностях, состоянии соединителя и журналах, включая список идентификаторов событий журнала для нового соединителя.

Симптомы

Вы используете Microsoft Intune для назначения сертификатов SCEP управляемым устройствам. После продления сертификата с истекшим сроком действия новые сертификаты не могут быть назначены устройствам. При открытии файла NDESPlugin.log журнал останавливается при отправке запроса на отправку в точку регистрации сертификатов.

Кроме того, если включить ведение журнала CAPI2 на сервере службы регистрации сетевых устройств (NDES), вы получите следующее сообщение об ошибке:

Обязательный сертификат не находится в пределах срока действия при проверке текущих системных часов или метки времени в подписанном файле.

Причина

Эта проблема возникает, так как модуль политики NDES по-прежнему использует отпечаток из сертификата проверки подлинности клиента с истекшим сроком действия. Этот сертификат был выбран при первом установке модуля политики NDES или соединителя сертификатов Intune.

Решение

Чтобы устранить эту проблему, задайте модулю политики NDES использовать новый сертификат. Для этого выполните следующие действия на сервере NDES:

1. Используется certlm.msc для открытия хранилища сертификатов локального компьютера, разверните узел "Персональный" и выберите "Сертификаты".

2. В списке сертификатов найдите истекший срок действия сертификата, удовлетворяющий следующим условиям:

   • Значением предполагаемых целей является проверка подлинности клиента.
   • Значение выданного имени или общего имени соответствует имени сервера NDES.

   Примечание.

   Требуется расширенное использование ключа проверки подлинности клиента (EKU). Без этого EKU СертификатRegistrationSvc вернет ответ HTTP 403 на запросы NDESPlugin. Этот ответ будет зарегистрирован в журналах IIS.

3. Дважды щелкните сертификат. В диалоговом окне "Сертификат" выберите вкладку "Сведения", найдите поле "Отпечаток", а затем убедитесь, что значение соответствует значению подраздела HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint реестра.

4. Нажмите кнопку "ОК ", чтобы закрыть диалоговое окно "Сертификат ".

5. Щелкните правой кнопкой мыши сертификат, выберите "Все задачи", а затем выберите "Запросить сертификат с новым ключом " или "Обновить сертификат" с помощью нового ключа.

6. На странице регистрации сертификатов нажмите кнопку "Далее", выберите правильный шаблон SSL, а затем нажмите кнопку "Дополнительные сведения" для регистрации этого сертификата. Щелкните здесь, чтобы настроить параметры.

7. В диалоговом окне "Свойства сертификата" выберите вкладку "Тема", а затем выполните следующие действия:

   1. В раскрывающемся списке "Тип" в разделе "Имя субъекта" выберите "Общее имя". В поле "Значение" введите полное доменное имя сервера NDES. Нажмите кнопку Добавить.
   2. В раскрывающемся списке "Тип" в раскрывающемся списке "Альтернативный" выберите DNS. В поле "Значение" введите полное доменное имя сервера NDES. Нажмите кнопку Добавить.
   3. Нажмите кнопку "ОК ", чтобы закрыть диалоговое окно "Свойства сертификата".

8. Нажмите кнопку "Регистрация", подождите, пока регистрация завершится успешно, а затем нажмите кнопку "Готово".

9. Переустановите соединитель сертификатов Intune, чтобы связать его с вновь созданным сертификатом. Дополнительные сведения см. в разделе Установка соединителя сертификатов для Microsoft Intune.

10. После закрытия пользовательского интерфейса соединителя сертификатов перезапустите службу соединителя Intune и службу веб-публикации.