本文提供了在续订证书颁发机构(CA)证书后,简单证书注册协议(SCEP)证书部署失败到 Windows 10 设备时的解决方案。
注意
使用 Intune 将 SCEP 证书部署到 Android 或 iOS 设备时,不会发生此问题。
现象
使用 Microsoft Intune 将 SCEP 证书配置文件部署到 Windows 10 设备。 续订根 CA 或颁发 CA 的证书后,SCEP 证书部署将失败。
下面是 Intune 门户中部署状态的屏幕截图:
在 Windows 10 设备上,事件 32 和事件 307 记录在“应用程序和服务日志”下的“应用程序和服务日志>”下,Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider,如以下屏幕截图所示:
事件 30 记录在 CAPI2 日志中,如以下屏幕截图所示:
原因
最可能的原因是 CA 颁发给网络设备注册服务(NDES)服务器的注册机构(RA)证书仍引用旧的 CA 证书。 在这种情况下,续订后 CA 证书不再受信任,并且会收到以下错误消息,该错误消息记录在 CAPI2 日志中的事件 30 中:
已处理证书链,但是在不受信任提供程序信任的根证书中终止。 800B0109
因此,设备无法再接收 SCEP 证书。
解决方案
若要解决此问题,请在 NDES 服务器上重新安装 NDES 服务器角色和 Microsoft Intune 证书连接器。 重新安装期间,RA 证书将重新颁发给 NDES 服务器。
有关如何安装 NDES 服务器角色和 Intune 证书连接器的详细信息,请参阅 支持提示 - 如何在 Intune 中为 SCEP 证书部署配置 NDES。