本文提供當您更新證書頒發機構單位 (CA) 憑證之後,簡單憑證註冊通訊協定 (SCEP) 憑證部署失敗至 Windows 10 裝置時的解決方案。
注意
當您使用 Intune 將 SCEP 憑證部署至 Android 或 iOS 裝置時,不會發生此問題。
徵兆
您可以使用 Microsoft Intune 將 SCEP 憑證設定檔部署到 Windows 10 裝置。 更新根 CA 或發行 CA 的憑證之後,SCEP 憑證部署會失敗。
以下是 Intune 入口網站中部署狀態的螢幕快照:
在 Windows 10 裝置上,事件 32 和事件 307 會記錄在 [應用程式與服務記錄] 底下的 [應用程式與服務>記錄] 底下,Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider,如下列螢幕快照所示:
事件 30 會記錄在 CAPI2 記錄中,如下列螢幕快照所示:
原因
最可能的原因是您的 CA 簽發給網路裝置註冊服務 (NDES) 伺服器的註冊授權單位 (RA) 憑證仍然參考舊的 CA 憑證。 在此情況下,CA 憑證在更新之後不再受到信任,而且您會收到下列錯誤訊息,該錯誤訊息會記錄在 CAPI2 記錄中的事件 30:
憑證鏈結已處理,但終止於不為信任提供者所信任的根憑證。 800B0109
因此,裝置無法再收到 SCEP 憑證。
解決方案
若要修正此問題,請在 NDES 伺服器上重新安裝 NDES 伺服器角色和 Microsoft Intune 憑證連接器。 重新安裝期間,RA 憑證將會重新發出至 NDES 伺服器。
如需如何安裝 NDES 伺服器角色和 Intune 憑證連接器的詳細資訊,請參閱 支援提示 - 如何在 Intune 中設定 SCEP 憑證部署的 NDES。