Fehler bei der Bereitstellung von SCEP auf Windows 10-Geräten, nachdem Sie das Zertifizierungsstellenzertifikat erneuert haben

Dieser Artikel enthält eine Lösung für das Problem, dass bei der Bereitstellung des Zertifikats für das Einfache Zertifikatregistrierungsprotokoll (Simple Certificate Enrollment Protocol, SCEP) ein Fehler auftritt, nachdem Sie das Zertifizierungsstellenzertifikat erneuert haben.

Ursprüngliche Produktversion:   Microsoft Intune
Ursprüngliche KB-Nummer:   4510728

Problembeschreibung

Sie verwenden Microsoft Intune zum Bereitstellen von SCEP-Zertifikatprofilen auf Windows 10-Geräten. Nachdem Sie das Zertifikat Ihrer Stammzertifizierungsstelle oder ausstellenden Zertifizierungsstelle erneuert haben, schlägt die Bereitstellung des SCEP-Zertifikats fehl.

Es folgt ein Screenshot des Bereitstellungsstatus im Intune-Portal:

Screenshot des Bereitstellungsfehlers

Auf dem Windows 10-Gerät werden Ereignis 32 und Ereignis 307 in Administratorprotokollen unter "Anwendungs- und Dienstprotokolle > " Microsoft > Windows > DeviceManagement-Enterprise-Diagnostic-Provider" protokolliert, wie in den folgenden Screenshots dargestellt:

Screenshot von Ereignis 32

Screenshot von Ereignis 307

Ereignis 30 wird im CAPI2-Protokoll protokolliert, wie im folgenden Screenshot dargestellt:

Screenshot von Ereignis 30

Hinweis

This issue does not occur when you use Intune to deploy SCEP certificates to Android or iOS devices.

Ursache

Die wahrscheinlichste Ursache ist, dass die Von Ihrer Zertifizierungsstelle für den Netzwerkgeräteregistrierungsdienst (Network Device Enrollment Service, NDES)-Server ausgestellten Registrierungsstellenzertifikate weiterhin auf das alte Zertifizierungsstellenzertifikat verweisen. In diesem Fall wird das Zertifizierungsstellenzertifikat nach der Verlängerung nicht mehr als vertrauenswürdig eingestuft, und Sie erhalten die folgende Fehlermeldung, die im Ereignis 30 im CAPI2-Protokoll protokolliert wird:

Eine Zertifikatkette wurde verarbeitet, aber in einem Stammzertifikat beendet, das vom Vertrauensanbieter nicht als vertrauenswürdig eingestuft wird. 800B0109

Daher können die Geräte keine SCEP-Zertifikate mehr empfangen.

Lösung

Um das Problem zu beheben, installieren Sie sowohl die NDES-Serverrolle als auch den Microsoft Intune-Zertifikatconnector auf dem NDES-Server neu. Während der Neuinstallation werden die RaR-Zertifikate erneut auf dem NDES-Server ausgestellt.

Weitere Informationen zum Installieren der NDES-Serverrolle und des Intune-Zertifikatconnector finden Sie im Supporttipp zum Konfigurieren von NDES für SCEP-Zertifikatbereitstellungen in Intune.