Die SCEP-Bereitstellung auf Windows 10 Geräten schlägt fehl, nachdem Sie das Zertifizierungsstellenzertifikat erneuert haben.

  • Artikel

Dieser Artikel bietet eine Lösung für den Fall, dass die Bereitstellung eines SCEP-Zertifikats (Simple Certificate Enrollment Protocol) auf einem Windows 10 Gerät fehlschlägt, nachdem Sie das Zertifizierungsstellenzertifikat erneuert haben.

Hinweis

Dieses Problem tritt nicht auf, wenn Sie Intune verwenden, um SCEP-Zertifikate auf Android- oder iOS-Geräten bereitzustellen.

Symptome

Sie verwenden Microsoft Intune, um SCEP-Zertifikatprofile auf Windows 10 Geräten bereitzustellen. Nachdem Sie das Zertifikat Ihrer Stammzertifizierungsstelle oder der ausstellenden Zertifizierungsstelle erneuert haben, schlägt die BEREITSTELLUNG des SCEP-Zertifikats fehl.

Im Folgenden sehen Sie einen Screenshot der bereitstellungs status im Intune-Portal:

Screenshot: Status des Bereitstellungsfehlers.

Auf dem Windows 10 Gerät werden die Ereignisse 32 und 307 in Admin Protokollen unter Anwendungs- und Dienstprotokolle>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider protokolliert, wie in den folgenden Screenshots gezeigt:

Screenshot von Ereignis 32.

Screenshot: Ereignis 307.

Ereignis 30 wird im CAPI2-Protokoll protokolliert, wie im folgenden Screenshot gezeigt:

Screenshot: Ereignis 30 und seine Details.

Ursache

Die wahrscheinlichste Ursache ist, dass die Ra-Zertifikate (Registration Authority), die von Ihrer Zertifizierungsstelle für den NDES-Server (Network Device Enrollment Service) ausgestellt werden, weiterhin auf das alte Zertifikat der Zertifizierungsstelle verweisen. In diesem Fall ist das Zertifizierungsstellenzertifikat nach der Verlängerung nicht mehr vertrauenswürdig, und Sie erhalten die folgende Fehlermeldung, die im CAPI2-Protokoll bei Ereignis 30 angemeldet ist:

Eine Zertifikatkette, die verarbeitet, aber in einem Stammzertifikat beendet wird, dem der Vertrauensanbieter nicht vertraut. 800B0109

Daher können die Geräte keine SCEP-Zertifikate mehr empfangen.

Lösung

Installieren Sie zum Beheben des Problems sowohl die NDES-Serverrolle als auch Microsoft Intune Certificate Connector auf dem NDES-Server neu. Während der Neuinstallation werden RA-Zertifikate erneut auf den NDES-Server ausgestellt.

Weitere Informationen zum Installieren der NDES-Serverrolle und Intune Certificate Connector finden Sie unter Supporttipp : Konfigurieren von NDES für SCEP-Zertifikatbereitstellungen in Intune.