本文提供兩種方法來協助解決簡單憑證註冊通訊協定 (SCEP) 驗證期間憑證要求失敗的情況。
在憑證註冊點 (CRP) 的驗證階段期間,SCEP 憑證要求會失敗。 因此,即使已設定 NDES,Android 和 iOS 裝置也不會收到 SCEP 憑證。
此外,您會在 CRP 記錄中看到錯誤專案。
預設記錄檔位置為:
C:\Program Files\Microsoft Intune\NDESConnectorSvc\Logs\Logs\CertificateRegistrationPoint_xx_xx.svclog
三個記錄專案會指定密碼編譯例外狀況錯誤,如下圖所示。
第一個錯誤專案
<來源名稱=「CertificateRegistrationPoint」 />
密碼編譯例外狀況:System.Security.Cryptography.CryptographicException:m_safeCertCoNtext是不正確控制碼。
at System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfCoNtextInvalid ()
at System.Security.Cryptography.X509Certificates.X509Certificate.SetThumbprint ()
at System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString ()
at Microsoft.ConfigurationManager.CertRegPoint.Helper.ValidateChallenge (String base64Encodedtoken, X509Certificate2Collection encryptedCerts, X509Certificate2 SigningCert, String & decodedChallengePassword)
第二個錯誤專案
密碼編譯例外狀況:System.Security.Cryptography.CryptographicException:m_safeCertCoNtext是不正確控制碼。
at System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfCoNtextInvalid ()
at System.Security.Cryptography.X509Certificates.X509Certificate.SetThumbprint ()
at System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString ()
at Microsoft.ConfigurationManager.CertRegPoint.Helper.ValidateChallenge (String base64Encodedtoken, X509Certificate2Collection encryptedCerts, X509Certificate2 SigningCert, String & decodedChallengePassword)
at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase1 (VerifyChallengeParams value, String & decodedChallenge, PKCSDecodedObject & pkcsObj)
第三個錯誤專案
密碼編譯例外狀況:System.Security.Cryptography.CryptographicException:m_safeCertCoNtext是不正確控制碼。
at System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfCoNtextInvalid ()
at System.Security.Cryptography.X509Certificates.X509Certificate.SetThumbprint ()
at System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString ()
at Microsoft.ConfigurationManager.CertRegPoint.Helper.ValidateChallenge (String base64Encodedtoken, X509Certificate2Collection encryptedCerts, X509Certificate2 SigningCert, String & decodedChallengePassword)
at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase1 (VerifyChallengeParams value, String & decodedChallenge, PKCSDecodedObject & pkcsObj)
at Microsoft.ConfigurationManager.CertRegPoint.Controllers.CertificateController.VerifyRequest (VerifyChallengeParams value)
發生此問題的原因是 NDES 連接器登錄設定中遺漏負責驗證憑證要求的登錄機碼。
解決方案 1
完成下列步驟以重新開機Intune連接器服務:
在連接器安裝的伺服器上,開啟
[服務
] 嵌入式管理單元。 若要這樣做,請開啟 [
開始
] 功能表,輸入
services.msc
,然後從結果清單中選取 [
服務
]。
在
[服務
] 嵌入式管理單元中,重新開機Intune連接器服務。
檢查登錄
HKLM\Software\Microsoft\MicrosoftIntune\NDESConnector
子機碼,以確認登錄機碼已根據下列螢幕擷取畫面建立。
HKEY_LOCAL_Machine\Software\Microsoft\Cryptography\MSCEP
將範本值變更為預設 (
IPSECIntermediateOffline
) ,然後重新開機伺服器。
伺服器重新開機之後,請檢查
HKEY_LOCAL_Machine\Software\Microsoft\MicrosoftIntune\NDESConnector
子機碼。 您現在應該會看到簽署憑證。
建立金鑰之後,將 底下的
HKEY_LOCAL_Machine\Software\Microsoft\Cryptography\MSCEP
範本名稱變更為針對 SCEP 和 NDES 建立的自訂範本名稱。
