Échec de la demande de certificat SCEP pendant la phase de vérification sur le CRP
Cet article fournit deux méthodes pour résoudre l’échec d’une demande de certificat SCEP (Simple Certificate Enrollment Protocol) pendant la vérification.
Symptômes
La demande de certificat SCEP échoue pendant la phase de vérification sur le point d’enregistrement de certificat (CRP). Par conséquent, les appareils Android et iOS ne reçoivent pas de certificats SCEP même si NDES est configuré.
En outre, vous voyez des entrées d’erreur dans les journaux CRP.
Remarque
L’emplacement par défaut du fichier journal est le suivant :
C:\Program Files\Microsoft Intune\NDESConnectorSvc\Logs\Logs\CertificateRegistrationPoint_xx_xx.svclog
Trois entrées de journal spécifient une erreur d’exception de chiffrement, comme illustré dans l’image suivante.
Première entrée d’erreur
<Source Name="CertificateRegistrationPoint » />
Exception de chiffrement : System.Security.Cryptography.CryptographicException : m_safeCertContext est un handle non valide.
sur System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid()
sur System.Security.Cryptography.X509Certificates.X509Certificate.SetThumbprint()
sur System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString()
sur Microsoft.ConfigurationManager.CertRegPoint.Helper.ValidateChallenge(String base64Encodedtoken, X509Certificate2Collection encryptedCerts, X509Certificate2 SigningCert, String& decodedChallengePassword)
Deuxième entrée d’erreur
Exception de chiffrement : System.Security.Cryptography.CryptographicException : m_safeCertContext est un handle non valide.
sur System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid()
sur System.Security.Cryptography.X509Certificates.X509Certificate.SetThumbprint()
sur System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString()
sur Microsoft.ConfigurationManager.CertRegPoint.Helper.ValidateChallenge(String base64Encodedtoken, X509Certificate2Collection encryptedCerts, X509Certificate2 SigningCert, String& decodedChallengePassword)
sur Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase1(VerifyChallengeParams value, String& decodedChallenge, PKCSDecodedObject& pkcsObj)
Troisième entrée d’erreur
Exception de chiffrement : System.Security.Cryptography.CryptographicException : m_safeCertContext est un handle non valide.
sur System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid()
sur System.Security.Cryptography.X509Certificates.X509Certificate.SetThumbprint()
sur System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString()
sur Microsoft.ConfigurationManager.CertRegPoint.Helper.ValidateChallenge(String base64Encodedtoken, X509Certificate2Collection encryptedCerts, X509Certificate2 SigningCert, String& decodedChallengePassword)
sur Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase1(VerifyChallengeParams value, String& decodedChallenge, PKCSDecodedObject& pkcsObj)
sur Microsoft.ConfigurationManager.CertRegPoint.Controllers.CertificateController.VerifyRequest(VerifyChallengeParams value)
Cause
Ce problème se produit car les clés de Registre responsables de la vérification de la demande de certificat sont manquantes dans les paramètres de Registre du connecteur NDES.
Solution 1
Procédez comme suit pour redémarrer le service connecteur Intune :
Sur le serveur installé par le connecteur, ouvrez le composant logiciel enfichable Services . Pour ce faire, ouvrez le menu Démarrer , entrez
services.msc
, puis sélectionnez Services dans la liste des résultats.Dans le composant logiciel enfichable Services, redémarrez le service connecteur Intune.
Vérifiez la
HKLM\Software\Microsoft\MicrosoftIntune\NDESConnector
sous-clé de Registre pour vérifier que les clés de Registre ont été créées conformément à la capture d’écran suivante.
Si le redémarrage du service ou de l’ordinateur ne résout pas le problème, passez à la Solution 2.
Solution 2
Procédez comme suit pour effacer et réinitialiser le nom du modèle :
Sur l’ordinateur NDES, ouvrez le Registre et recherchez la sous-clé suivante :
HKEY_LOCAL_Machine\Software\Microsoft\Cryptography\MSCEP
Remplacez les valeurs de modèle par défaut (IPSECIntermediateOffline), puis redémarrez le serveur.
Après le redémarrage du serveur, case activée la
HKEY_LOCAL_Machine\Software\Microsoft\MicrosoftIntune\NDESConnector
sous-clé. Vous devez maintenant voir les certificats de signature.Une fois les clés créées, remplacez le nom du modèle sous
HKEY_LOCAL_Machine\Software\Microsoft\Cryptography\MSCEP
par le nom du modèle personnalisé qui a été créé pour SCEP et NDES.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour