Lire en anglais

Partager via

Échec de la demande de certificat SCEP pendant la phase de vérification sur la CRP

  • Article

Cet article fournit deux méthodes pour vous aider à résoudre quand une demande de certificat SCEP (Simple Certificate Enrollment Protocol) échoue lors de la vérification.

Symptômes

La demande de certificat SCEP échoue pendant la phase de vérification sur le point d’inscription de certificat (CRP). Par conséquent, les appareils Android et iOS ne reçoivent pas de certificats SCEP même si NDES est configuré.

En outre, vous voyez des entrées d’erreur dans les journaux d’activité CRP.

Notes

L’emplacement du fichier journal par défaut est :

C:\Program Files\Microsoft Intune\NDESConnectorSvc\Logs\Logs\CertificateRegistrationPoint_xx_xx.svclog

Trois entrées de journal spécifient une erreur d’exception de chiffrement, comme illustré dans l’image suivante.

Capture d’écran des trois instances de l’erreur.

Première entrée d’erreur

<Nom de la source="CertificateRegistrationPoint » />
Exception de chiffrement : System.Security.Cryptography.CryptographicException : m_safeCertContext est un handle non valide.
 chez System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid()
 sur System.Security.Cryptography.X509Certificates.X509Certificate.SetThumbprint()
 chez System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString()
 chez Microsoft.ConfigurationManager.CertRegPoint.Helper.ValidateChallenge(String base64Encodedtoken, X509Certificate2Collection encryptedCerts, X509Certificate2 SigningCertcert, String&decodedChallengePassword)

Deuxième entrée d’erreur

Exception de chiffrement : System.Security.Cryptography.CryptographicException : m_safeCertContext est un handle non valide.
 chez System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid()
 sur System.Security.Cryptography.X509Certificates.X509Certificate.SetThumbprint()
 chez System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString()
 chez Microsoft.ConfigurationManager.CertRegPoint.Helper.ValidateChallenge(String base64Encodedtoken, X509Certificate2Collection encryptedCerts, X509Certificate2 SigningCertcert, String&decodedChallengePassword)
 chez Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase1(VerifyChallengeParams value, String&decodedChallenge, PKCSDecodedObject&pkcsObj)

Troisième entrée d’erreur

Exception de chiffrement : System.Security.Cryptography.CryptographicException : m_safeCertContext est un handle non valide.
 chez System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid()
 sur System.Security.Cryptography.X509Certificates.X509Certificate.SetThumbprint()
 chez System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString()
 chez Microsoft.ConfigurationManager.CertRegPoint.Helper.ValidateChallenge(String base64Encodedtoken, X509Certificate2Collection encryptedCerts, X509Certificate2 SigningCertcert, String&decodedChallengePassword)
 chez Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase1(VerifyChallengeParams value, String&decodedChallenge, PKCSDecodedObject&pkcsObj)
 sur Microsoft.ConfigurationManager.CertRegPoint.Controllers.CertificateController.VerifyRequest(VerifyChallengeParams value)

Cause

Ce problème se produit parce que les clés de Registre responsables de la vérification de la demande de certificat sont manquantes dans les paramètres de Registre du connecteur NDES.

Capture d’écran des paramètres de Registre du connecteur NDES.

Solution 1

Procédez comme suit pour redémarrer le service de connecteur Intune :

  1. Sur le serveur installé par le connecteur, ouvrez le composant logiciel enfichable Services . Pour ce faire, ouvrez le menu Démarrer , entrez services.msc, puis sélectionnez Services dans la liste des résultats.

  2. Dans le composant logiciel enfichable Services , redémarrez le service connecteur Intune.

  3. Vérifiez la sous-clé de HKLM\Software\Microsoft\MicrosoftIntune\NDESConnector Registre pour vérifier que les clés de Registre ont été créées en fonction de la capture d’écran suivante.

    Capture d’écran des paramètres de sous-clé de Registre NDESConnector requis.

Si le redémarrage du service ou de l’ordinateur ne résout pas le problème, passez à la solution 2.

Solution 2

Procédez comme suit pour effacer et réinitialiser le nom du modèle :

  1. Sur l’ordinateur NDES, ouvrez le Registre et recherchez la sous-clé suivante :
    HKEY_LOCAL_Machine\Software\Microsoft\Cryptography\MSCEP

  2. Remplacez les valeurs de modèle par défaut (IPSECIntermediateOffline) et redémarrez le serveur.

  3. Une fois le serveur redémarré, vérifiez la HKEY_LOCAL_Machine\Software\Microsoft\MicrosoftIntune\NDESConnector sous-clé. Vous devez maintenant voir les certificats de signature.

  4. Une fois les clés créées, remplacez le nom du modèle par HKEY_LOCAL_Machine\Software\Microsoft\Cryptography\MSCEP le nom de modèle personnalisé créé pour SCEP et NDES.