Échec de la demande de certificat SCEP pendant la phase de vérification sur le CRP

  • Article

Cet article fournit deux méthodes pour résoudre l’échec d’une demande de certificat SCEP (Simple Certificate Enrollment Protocol) pendant la vérification.

Symptômes

La demande de certificat SCEP échoue pendant la phase de vérification sur le point d’enregistrement de certificat (CRP). Par conséquent, les appareils Android et iOS ne reçoivent pas de certificats SCEP même si NDES est configuré.

En outre, vous voyez des entrées d’erreur dans les journaux CRP.

Remarque

L’emplacement par défaut du fichier journal est le suivant :

C:\Program Files\Microsoft Intune\NDESConnectorSvc\Logs\Logs\CertificateRegistrationPoint_xx_xx.svclog

Trois entrées de journal spécifient une erreur d’exception de chiffrement, comme illustré dans l’image suivante.

Capture d’écran des trois instances de l’erreur.

Première entrée d’erreur

<Source Name="CertificateRegistrationPoint » />
Exception de chiffrement : System.Security.Cryptography.CryptographicException : m_safeCertContext est un handle non valide.
 sur System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid()
 sur System.Security.Cryptography.X509Certificates.X509Certificate.SetThumbprint()
 sur System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString()
 sur Microsoft.ConfigurationManager.CertRegPoint.Helper.ValidateChallenge(String base64Encodedtoken, X509Certificate2Collection encryptedCerts, X509Certificate2 SigningCert, String& decodedChallengePassword)

Deuxième entrée d’erreur

Exception de chiffrement : System.Security.Cryptography.CryptographicException : m_safeCertContext est un handle non valide.
 sur System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid()
 sur System.Security.Cryptography.X509Certificates.X509Certificate.SetThumbprint()
 sur System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString()
 sur Microsoft.ConfigurationManager.CertRegPoint.Helper.ValidateChallenge(String base64Encodedtoken, X509Certificate2Collection encryptedCerts, X509Certificate2 SigningCert, String& decodedChallengePassword)
 sur Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase1(VerifyChallengeParams value, String& decodedChallenge, PKCSDecodedObject& pkcsObj)

Troisième entrée d’erreur

Exception de chiffrement : System.Security.Cryptography.CryptographicException : m_safeCertContext est un handle non valide.
 sur System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid()
 sur System.Security.Cryptography.X509Certificates.X509Certificate.SetThumbprint()
 sur System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString()
 sur Microsoft.ConfigurationManager.CertRegPoint.Helper.ValidateChallenge(String base64Encodedtoken, X509Certificate2Collection encryptedCerts, X509Certificate2 SigningCert, String& decodedChallengePassword)
 sur Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase1(VerifyChallengeParams value, String& decodedChallenge, PKCSDecodedObject& pkcsObj)
 sur Microsoft.ConfigurationManager.CertRegPoint.Controllers.CertificateController.VerifyRequest(VerifyChallengeParams value)

Cause

Ce problème se produit car les clés de Registre responsables de la vérification de la demande de certificat sont manquantes dans les paramètres de Registre du connecteur NDES.

Capture d’écran des paramètres du registre du connecteur NDES.

Solution 1

Procédez comme suit pour redémarrer le service connecteur Intune :

  1. Sur le serveur installé par le connecteur, ouvrez le composant logiciel enfichable Services . Pour ce faire, ouvrez le menu Démarrer , entrez services.msc, puis sélectionnez Services dans la liste des résultats.

  2. Dans le composant logiciel enfichable Services, redémarrez le service connecteur Intune.

  3. Vérifiez la HKLM\Software\Microsoft\MicrosoftIntune\NDESConnector sous-clé de Registre pour vérifier que les clés de Registre ont été créées conformément à la capture d’écran suivante.

    Capture d’écran des paramètres de sous-clé de Registre NDESConnector requis.

Si le redémarrage du service ou de l’ordinateur ne résout pas le problème, passez à la Solution 2.

Solution 2

Procédez comme suit pour effacer et réinitialiser le nom du modèle :

  1. Sur l’ordinateur NDES, ouvrez le Registre et recherchez la sous-clé suivante :
    HKEY_LOCAL_Machine\Software\Microsoft\Cryptography\MSCEP

  2. Remplacez les valeurs de modèle par défaut (IPSECIntermediateOffline), puis redémarrez le serveur.

  3. Après le redémarrage du serveur, case activée la HKEY_LOCAL_Machine\Software\Microsoft\MicrosoftIntune\NDESConnector sous-clé. Vous devez maintenant voir les certificats de signature.

  4. Une fois les clés créées, remplacez le nom du modèle sous HKEY_LOCAL_Machine\Software\Microsoft\Cryptography\MSCEP par le nom du modèle personnalisé qui a été créé pour SCEP et NDES.