Delen via

Problemen met communicatie tussen apparaten en NDES-servers voor SCEP-certificaatprofielen in Microsoft Intune oplossen

  • Artikel

Gebruik de volgende informatie om te bepalen of een apparaat dat een SCEP-certificaatprofiel (Simple Certificate Enrollment Protocol) van Intune heeft ontvangen en verwerkt, contact kan opnemen met Network Device Enrollment Service (NDES) om een uitdaging te presenteren. Op het apparaat wordt een persoonlijke sleutel gegenereerd en wordt de aanvraag voor certificaatondertekening (CSR) en de uitdaging van het apparaat doorgegeven aan de NDES-server. Als u contact wilt opnemen met de NDES-server, gebruikt het apparaat de URI van het SCEP-certificaatprofiel.

In dit artikel wordt verwezen naar stap 2 van het overzicht van de SCEP-communicatiestroom.

IIS-logboeken controleren op een verbinding vanaf het apparaat

IIS-logboekbestanden (Internet Information Services) bevatten hetzelfde type vermeldingen voor alle platforms.

  1. Open op de NDES-server het meest recente IIS-logboekbestand in de volgende map: %SystemDrive%\inetpub\logs\logfiles\w3svc1

  2. Zoek in het logboek naar vermeldingen die vergelijkbaar zijn met de volgende voorbeelden. Beide voorbeelden bevatten een status 200, die aan het einde wordt weergegeven:

    fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACaps&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 186 0.

    And

    fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACert&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 3567 0

  3. Wanneer het apparaat verbinding maakt met IIS, wordt een HTTP GET-aanvraag voor mscep.dll geregistreerd.

    Controleer de statuscode aan het einde van deze aanvraag:

    • Statuscode van 200: Deze status geeft aan dat de verbinding met de NDES-server is geslaagd.

    • Statuscode van 500: De IIS_IUSRS groep heeft mogelijk geen juiste machtigingen. Zie Statuscode 500 verderop in dit artikel oplossen.

    • Als de statuscode niet 200 of 500 is:

    Als de verbindingsaanvraag helemaal niet is geregistreerd, wordt de contactpersoon van het apparaat mogelijk geblokkeerd op het netwerk tussen het apparaat en de NDES-server.

Apparaatlogboeken controleren voor verbindingen met NDES

Android-apparaten

Controleer het OMADM-logboek van apparaten. Zoek naar vermeldingen die lijken op de volgende voorbeelden, die worden geregistreerd wanneer het apparaat verbinding maakt met NDES:

2018-02-27T05:16:08.2500000  VERB  Event  com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager  18327    10  There are 1 requests
2018-02-27T05:16:08.2500000  VERB  Event  com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager  18327    10  Trying to enroll certificate request: ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c;Hash=1677525787
2018-02-27T05:16:09.5530000  VERB  Event  org.jscep.transport.UrlConnectionGetTransport  18327    10  Sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:14.6440000  VERB  Event  org.jscep.transport.UrlConnectionGetTransport  18327    10  Received '200 OK' when sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.8220000  VERB  Event  org.jscep.message.PkiMessageEncoder  18327     10 Encoding message: org.jscep.message.PkcsReq@2b06f45f[messageData=org.<server>.pkcs.PKCS10CertificationRequest@699b3cd,messageType=PKCS_REQ,senderNonce=Nonce [D447AE9955E624A56A09D64E2B3AE76E],transId=251E592A777C82996C7CF96F3AAADCF996FC31FF]
2018-02-27T05:16:21.8790000  VERB  Event  org.jscep.message.PkiMessageEncoder  18327     10  Signing pkiMessage using key belonging to [dn=CN=<uesrname>; serial=1]
2018-02-27T05:16:21.9580000  VERB  Event  org.jscep.transaction.EnrollmentTransaction  18327     10  Sending org.<server>.cms.CMSSignedData@ad57775

Belangrijke vermeldingen bevatten de volgende voorbeeldteksttekenreeksen:

  • Er zijn 1 aanvragen
  • Ontvangen '200 OK' bij het verzenden van GetCACaps(ca) naar https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
  • PkiMessage ondertekenen met de sleutel die hoort bij [dn=CN=<username>; serial=1]

De verbinding wordt ook vastgelegd door IIS in de map %SystemDrive%\inetpub\logs\LogFiles\W3SVC1\ van de NDES-server. Hieronder ziet u een voorbeeld:

fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACert&message=ca 443 - 
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 3909 0
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACaps&message=ca 443 - 
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 421

iOS-/iPadOS-apparaten

Controleer het foutopsporingslogboek van apparaten. Zoek naar vermeldingen die lijken op de volgende voorbeelden, die worden geregistreerd wanneer het apparaat verbinding maakt met NDES:

debug    18:30:53.691033 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\ 
debug    18:30:54.640644 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
default    18:30:55.483977 -0500    profiled    Attempting to retrieve issued certificate...\ 
debug    18:30:55.487798 -0500    profiled    Sending CSR via GET.\  
debug    18:30:55.487908 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=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

Belangrijke vermeldingen bevatten de volgende voorbeeldteksttekenreeksen:

  • operation=GetCACert
  • Poging om uitgegeven certificaat op te halen
  • CSR verzenden via GET
  • operation=PKIOperation

Windows-apparaten

Op een Windows-apparaat dat verbinding maakt met NDES, kunt u de apparaten weergeven die Windows Logboeken en zoeken naar aanwijzingen voor een geslaagde verbinding. Verbindingen worden geregistreerd als gebeurtenis-id 36 in het apparaatlogboek DeviceManagement-Enterprise-Diagnostics-Provide>Admin.

Het logboek openen:

  1. Voer op het apparaat eventvwr.msc uit om Windows Logboeken te openen.

  2. Vouw toepassingen en services uit en registreert>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin.

  3. Zoek naar gebeurtenis 36, die lijkt op het volgende voorbeeld, met de sleutelregel van SCEP: Certificaataanvraag is gegenereerd:

    Event ID:      36
Task Category: None
Level:         Information
Keywords:
User:          <UserSid>
Computer:      <Computer Name>
Description:
SCEP: Certificate request generated successfully. Enhanced Key Usage: (1.3.6.1.5.5.7.3.2), NDES URL: (https://<server>/certsrv/mscep/mscep.dll/pkiclient.exe), Container Name: (), KSP Setting: (0x2), Store Location: (0x1).

Problemen met statuscode 500 oplossen

Verbindingen die lijken op het volgende voorbeeld, met een statuscode van 500, geven het imiteren van een client aan nadat het gebruikersrecht voor verificatie niet is toegewezen aan de groep IIS_IUSRS op de NDES-server. De statuswaarde van 500 wordt aan het einde weergegeven:

2017-08-08 20:22:16 IP_address GET /certsrv/mscep/mscep.dll operation=GetCACert&message=SCEP%20Authority 443 - 10.5.14.22 profiled/1.0+CFNetwork/811.5.4+Darwin/16.6.0 - 500 0 1346 31

Voer de volgende stappen uit om dit probleem op te lossen:

  1. Voer op de NDES-server secpol.msc uit om het lokale beveiligingsbeleid te openen.
  2. Vouw Lokaal beleid uit en selecteer vervolgens Toewijzing van gebruikersrechten.
  3. Dubbelklik op Een client imiteren na verificatie in het rechterdeelvenster.
  4. Selecteer Gebruiker of groep toevoegen..., typ IIS_IUSRS in het vak De objectnamen invoeren die u wilt selecteren en selecteer VERVOLGENS OK.
  5. Selecteer OK.
  6. Start de computer opnieuw op en probeer de verbinding opnieuw vanaf het apparaat.

De URL van de SCEP-server testen en problemen oplossen

Gebruik de volgende stappen om de URL te testen die is opgegeven in het SCEP-certificaatprofiel.

  1. Bewerk in Intune uw SCEP-certificaatprofiel en kopieer de SERVER-URL. De URL moet er ongeveer als volgt uitzien https://contoso.com/certsrv/mscep/mscep.dll.

  2. Open een webbrowser en blader naar de URL van de SCEP-server. Het resultaat moet zijn: HTTP-fout 403.0 – Verboden. Dit resultaat geeft aan dat de URL correct werkt.

    Als u deze fout niet ontvangt, selecteert u de koppeling die lijkt op de fout die u ziet om specifieke richtlijnen voor problemen weer te geven:

Algemeen NDES-bericht

Wanneer u naar de URL van de SCEP-server bladert, ontvangt u het volgende bericht over registratieservice voor netwerkapparaten:

Schermopname van het bericht Registratieservice voor netwerkapparaten.

  • Oorzaak: Dit probleem is meestal een probleem met de installatie van de Microsoft Intune-connector.

    Mscep.dll is een ISAPI-extensie waarmee binnenkomende aanvragen worden onderschept en de HTTP 403-fout wordt weergegeven als deze correct is geïnstalleerd.

    Oplossing: Bekijk het SetupMsi.log-bestand om te bepalen of Microsoft Intune Connector is geïnstalleerd. In het volgende voorbeeld is de installatie voltooid en de installatie is geslaagd of de foutstatus: 0 geeft een geslaagde installatie aan:

    MSI (c) (28:54) [16:13:11:905]: Product: Microsoft Intune Connector -- Installation completed successfully.
MSI (c) (28:54) [16:13:11:999]: Windows Installer installed the product. Product Name: Microsoft Intune Connector. Product Version: 6.1711.4.0. Product Language: 1033. Manufacturer: Microsoft Corporation. Installation success or error status: 0.

    Als de installatie mislukt, verwijdert u de Microsoft Intune-connector en installeert u deze opnieuw. Als de installatie is geslaagd en u het algemene NDES-bericht blijft ontvangen, voert u de iisreset-opdracht uit om IIS opnieuw te starten.

HTTP-fout 503

Wanneer u naar de URL van de SCEP-server bladert, wordt de volgende fout weergegeven:

Schermopname van HTTP-fout 503. De service is niet beschikbaar.

Dit probleem treedt meestal op omdat de SCEP-toepassingsgroep in IIS niet is gestart. Open IIS-beheer op de NDES-server en ga naar Toepassingsgroepen. Zoek de SCEP-toepassingsgroep en bevestig dat deze is gestart.

Als de SCEP-toepassingsgroep niet is gestart, controleert u het gebeurtenislogboek van de toepassing op de server:

  1. Voer op het apparaat eventvwr.msc uit om Logboeken te openen en ga naar de Windows-logboektoepassing>.

  2. Zoek naar een gebeurtenis die vergelijkbaar is met het volgende voorbeeld, wat betekent dat de groep van toepassingen vastloopt wanneer een aanvraag wordt ontvangen:

    Log Name:      Application
Source:        Application Error
Event ID:      1000
Task Category: Application Crashing Events
Level:         Error
Keywords:      Classic
Description: Faulting application name: w3wp.exe, version: 8.5.9600.16384, time stamp: 0x5215df96
Faulting module name: ntdll.dll, version: 6.3.9600.18821, time stamp: 0x59ba86db
Exception code: 0xc0000005

Veelvoorkomende oorzaken voor een crash van een groep van toepassingen

  • Oorzaak 1: Er zijn tussenliggende CA-certificaten (niet zelfondertekend) in het certificaatarchief van de vertrouwde basiscertificeringsinstanties van de NDES-server.

    Oplossing: Verwijder tussenliggende certificaten uit het certificaatarchief vertrouwde basiscertificeringsinstanties en start de NDES-server opnieuw op.

    Voer de volgende PowerShell-cmdlet uit om alle tussenliggende certificaten in het certificaatarchief vertrouwde basiscertificeringsinstanties te identificeren: Get-Childitem -Path cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject}

    Een certificaat met hetzelfde certificaat dat is uitgegeven aan en uitgegeven door waarden, is een basiscertificaat. Anders is het een tussenliggend certificaat.

    Nadat u certificaten hebt verwijderd en de server opnieuw hebt opgestart, voert u de PowerShell-cmdlet opnieuw uit om te bevestigen dat er geen tussenliggende certificaten zijn. Als dat zo is, controleert u of een groepsbeleid de tussenliggende certificaten naar de NDES-server pusht. Zo ja, sluit u de NDES-server uit van het groepsbeleid en verwijdert u de tussenliggende certificaten opnieuw.

  • Oorzaak 2: De URL's in de certificaatintrekkingslijst (CRL) zijn geblokkeerd of niet bereikbaar voor de certificaten die worden gebruikt door de Intune Certificate Connector.

    Oplossing: Schakel extra logboekregistratie in om meer informatie te verzamelen:

    1. Open Logboeken, selecteer Weergeven, zorg ervoor dat de optie Analytische logboeken en foutopsporingslogboeken weergeven is ingeschakeld.
    2. Ga naar Toepassingen en Services-logboeken Microsoft>>Windows>CAPI2>Operational, klik met de rechtermuisknop op Operationeel en selecteer Logboek inschakelen.
    3. Nadat CAPI2-logboekregistratie is ingeschakeld, reproduceert u het probleem en bekijkt u het gebeurtenislogboek om het probleem op te lossen.

  • Oorzaak 3: IIS-machtiging voor CertificateRegistrationSvc heeft Windows-verificatie ingeschakeld.

    Oplossing: Schakel anonieme verificatie in en schakel Windows-verificatie uit en start de NDES-server opnieuw op.

    Schermopname van de machtigingen anonieme verificatie en Windows-verificatie.

  • Oorzaak 4: Het NDESPolicy-modulecertificaat is verlopen.

    In het CAPI2-logboek (zie de oplossing oorzaak 2) worden fouten weergegeven met betrekking tot het certificaat waarnaar wordt verwezen door HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint buiten de geldigheidsperiode van het certificaat te zijn.

    Oplossing: Vernieuw het certificaat en installeer de connector opnieuw.

    1. Hiermee certlm.msc opent u het certificaatarchief van de lokale computer, vouwt u Persoonlijk uit en selecteert u Certificaten.

    2. Zoek in de lijst met certificaten een verlopen certificaat dat voldoet aan de volgende voorwaarden:

      • De waarde van beoogde doeleinden is clientverificatie.
      • De waarde van Uitgegeven aan of Algemene naam komt overeen met de naam van de NDES-server.

      Notitie

      Het gebruik van uitgebreide sleutels (EKU) voor clientverificatie is vereist. Zonder deze EKU retourneert CertificateRegistrationSvc een HTTP 403-antwoord op NDESPlugin-aanvragen. Dit antwoord wordt vastgelegd in de IIS-logboeken.

    3. Dubbelklik op het certificaat. Selecteer in het dialoogvenster Certificaat het tabblad Details , zoek het veld Vingerafdruk en controleer of de waarde overeenkomt met de waarde van de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint registersubsleutel.

    4. Selecteer OK om het dialoogvenster Certificaat te sluiten.

    5. Klik met de rechtermuisknop op het certificaat, selecteer Alle taken en selecteer certificaat aanvragen met nieuwe sleutel of certificaat vernieuwen met nieuwe sleutel.

    6. Selecteer op de pagina Certificaatinschrijving de optie Volgende, selecteer de juiste SSL-sjabloon en selecteer vervolgens Meer informatie is vereist om u voor dit certificaat in te schrijven. Klik hier om instellingen te configureren.

    7. Selecteer in het dialoogvenster Certificaateigenschappen het tabblad Onderwerp en voer vervolgens de volgende stappen uit:

      1. Selecteer Onder Onderwerpnaam in de vervolgkeuzelijst Type de optie Algemene naam. Voer in het vak Waarde de FQDN (Fully Qualified Domain Name) van de NDES-server in. Selecteer vervolgens Toevoegen.
      2. Selecteer DNS in de vervolgkeuzelijst Type onder Alternatieve naam. Voer in het vak Waarde de FQDN-naam van de NDES-server in. Selecteer vervolgens Toevoegen.
      3. Selecteer OK om het dialoogvenster Certificaateigenschappen te sluiten.

    8. Selecteer Inschrijven, wacht totdat de inschrijving is voltooid en selecteer Voltooien.

    9. Installeer de Intune Certificate Connector opnieuw om deze te koppelen aan het zojuist gemaakte certificaat. Zie De certificaatconnector voor Microsoft Intune installeren voor meer informatie.

    10. Nadat u de gebruikersinterface van de certificaatconnector hebt gesloten, start u de Intune Connector-service en de World Wide Web Publishing Service opnieuw op.

GatewayTimeout

Wanneer u naar de URL van de SCEP-server bladert, wordt de volgende fout weergegeven:

Schermopname van de gatewaytimeout-fout.

  • Oorzaak: De Connector-service voor de Microsoft Entra-toepassingsproxy is niet gestart.

    Oplossing: Voer services.msc uit en zorg ervoor dat de Connector-service voor de Microsoft Entra-toepassingsproxy wordt uitgevoerd en het opstarttype is ingesteld op Automatisch.

HTTP 414-aanvraag-URI te lang

Wanneer u naar de URL van de SCEP-server bladert, wordt de volgende fout weergegeven: HTTP 414 Request-URI Too Long

  • Oorzaak: IIS-aanvraagfiltering is niet geconfigureerd ter ondersteuning van de lange URL's (query's) die de NDES-service ontvangt. Deze ondersteuning wordt geconfigureerd wanneer u de NDES-service configureert voor gebruik met uw infrastructuur voor SCEP.

  • Oplossing: ondersteuning voor lange URL's configureren.

    1. Open IIS-beheer op de NDES-server en selecteer de instelling voor het bewerken van de functie Voor het filteren van standaardwebsiteaanvragen>>om de pagina Instellingen voor aanvraagfiltering bewerken te openen.

    2. Configureer de volgende instellingen:

      • Maximale URL-lengte (bytes) = 65534
      • Maximale queryreeks (bytes) = 65534

    3. Selecteer OK om deze configuratie op te slaan en IIS-beheer te sluiten.

    4. Valideer deze configuratie door de volgende registersleutel te vinden om te bevestigen dat deze de aangegeven waarden heeft:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

      De volgende waarden worden ingesteld als DWORD-vermeldingen:

      • Naam: MaxFieldLength, met een decimale waarde van 65534
      • Naam: MaxRequestBytes, met een decimale waarde van 65534

    5. Start de NDES-server opnieuw op.

Deze pagina kan niet worden weergegeven

U hebt microsoft Entra-toepassingsproxy geconfigureerd. Wanneer u naar de URL van de SCEP-server bladert, wordt de volgende fout weergegeven:

This page can't be displayed

  • Oorzaak: dit probleem treedt op wanneer de externe SCEP-URL onjuist is in de toepassingsproxy-configuratie. Een voorbeeld van deze URL is https://contoso.com/certsrv/mscep/mscep.dll.

    Oplossing: gebruik het standaarddomein van yourtenant.msappproxy.net voor de externe SCEP-URL in de toepassingsproxy-configuratie.

500 - Interne serverfout

Wanneer u naar de URL van de SCEP-server bladert, wordt de volgende fout weergegeven:

Schermopname van de fout 500 - Interne server.

  • Oorzaak 1: het NDES-serviceaccount is vergrendeld of het wachtwoord is verlopen.

    Oplossing: Ontgrendel het account of stel het wachtwoord opnieuw in.

  • Oorzaak 2: De MSCEP-RA-certificaten zijn verlopen.

    Oplossing: Als de MSCEP-RA-certificaten zijn verlopen, installeert u de NDES-rol opnieuw of vraagt u nieuwe CEP-versleutelings- en Exchange Enrollment Agent-certificaten (offlineaanvraag) aan.

    Voer de volgende stappen uit om nieuwe certificaten aan te vragen:

    1. Open op de CERTIFICERINGsinstantie (CA) of verlenende CA de MMC-certificaatsjablonen. Zorg ervoor dat de aangemelde gebruiker en de NDES-server lees- en inschrijvingsmachtigingen hebben voor de certificaatsjablonen van de CEP-versleutelings- en Exchange Enrollment Agent (offlineaanvraag).

    2. Controleer de verlopen certificaten op de NDES-server en kopieer de onderwerpinformatie uit het certificaat.

    3. Open het mmc-certificaataccount voor computer.

    4. Vouw Persoonlijk uit, klik met de rechtermuisknop op Certificaten en selecteer vervolgens Alle taken>nieuw certificaat aanvragen.

    5. Selecteer OP de pagina Certificaat aanvragen de optie CEP-versleuteling en selecteer vervolgens Meer informatie is vereist om u in te schrijven voor dit certificaat. Klik hier om instellingen te configureren.

      Schermopname van de pagina Certificaat aanvragen, waar CEP-versleuteling is geselecteerd.

    6. Selecteer in Certificaateigenschappen het tabblad Onderwerp, vul de onderwerpnaam in met de gegevens die u tijdens stap 2 hebt verzameld, selecteer Toevoegen en selecteer vervolgens OK.

    7. Voltooi de certificaatinschrijving.

    8. Open de MMC-certificaten voor mijn gebruikersaccount.

      Wanneer u zich registreert voor het certificaat van de Exchange Enrollment Agent (offlineaanvraag), moet dit worden gedaan in de gebruikerscontext. Omdat het onderwerptype van deze certificaatsjabloon is ingesteld op Gebruiker.

    9. Vouw Persoonlijk uit, klik met de rechtermuisknop op Certificaten en selecteer vervolgens Alle taken>nieuw certificaat aanvragen.

    10. Selecteer op de pagina Certificaat aanvragen de optie Exchange Enrollment Agent (offlineaanvraag) en selecteer vervolgens Meer informatie is vereist om u voor dit certificaat in te schrijven. Klik hier om instellingen te configureren.

      Schermopname van de pagina Certificaat aanvragen, waarin exchange-inschrijvingsagent (offlineaanvraag) is geselecteerd.

    11. Selecteer in Certificaateigenschappen het tabblad Onderwerp, vul de onderwerpnaam in met de gegevens die u tijdens stap 2 hebt verzameld, en selecteer Toevoegen.

      Schermopname van het tabblad Onderwerp in het venster Certificaateigenschappen.

      Selecteer het tabblad Persoonlijke sleutel , selecteer Persoonlijke sleutel exporteren en selecteer VERVOLGENS OK.

      Schermopname van het tabblad Persoonlijke sleutel in het venster Certificaateigenschappen.

    12. Voltooi de certificaatinschrijving.

    13. Exporteer het certificaat van de Exchange Enrollment Agent (offlineaanvraag) uit het huidige certificaatarchief van de gebruiker. Selecteer Ja in de wizard Certificaat exporteren de persoonlijke sleutel.

    14. Importeer het certificaat in het certificaatarchief van de lokale computer.

    15. Voer in mmc certificaten de volgende actie uit voor elk van de nieuwe certificaten:

      Klik met de rechtermuisknop op het certificaat, selecteer Alle taken>persoonlijke sleutels beheren, voeg leesmachtiging toe aan het NDES-serviceaccount.

    16. Voer de iisreset-opdracht uit om IIS opnieuw op te starten .

Volgende stappen

Als het apparaat de NDES-server heeft bereikt om de certificaataanvraag te presenteren, is de volgende stap het controleren van de beleidsmodule intune-certificaatconnectors.