Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

System Center 2012 R2 Configuration Manager permet le provisionnement de certificats sur les périphériques mobiles et les clients Windows. Cette fonctionnalité requiert la configuration de plusieurs prérequis dont le Certificate Registration point. Lors de l’évaluation de la baseline pour le déploiement du certificat, cette dernière échouait. En regardant le log CRP.log sur le système de site hébergeant le rôle Certificate Registration point, vous observez les erreurs suivantes lors de la première phase :

Reading Template Permission Check from registry.

Validation Phase 1 started.

Validation Phase 1 finised with status True.

Validation Phase 2 started for device and user .             

Validation Phase 2 finished.

Validation Phase 3 started for device GUID:EDE6ACB8-617F-47CD-9E19-79270B3CBF28 and user S-1-5-21-3067064070-1593319561-2880520525-1132.

SubjectAlternativeName is empty and skipSANCheck is enabled.           

TemplateName in CSR IPSECIntermediateOffline and challenge <modèle de certificate> does not match

Exception: System.ArgumentException: TemplateName in CSR and challenge does not match

   at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipPermissionCheck, Int32 skipTemplateCheckOnlyIfAccountAccessDenied, String ADSecurityDescriptorValue, Int32 skipSANCheck)                CertificateRegistrationPoint       12/03/2014 15:05:23       6 (0x0006)

Exception: System.ArgumentException: TemplateName in CSR and challenge does not match

   at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipPermissionCheck, Int32 skipTemplateCheckOnlyIfAccountAccessDenied, String ADSecurityDescriptorValue, Int32 skipSANCheck)

   at Microsoft.ConfigurationManager.CertRegPoint.Controllers.CertificateController.VerifyRequest(VerifyChallengeParams value)  

VerifyRequest Finished with status False

 

Ce problème survient car vous n’avez pas pleinement suivi la liste des prérequis nécessaires au déploiement de certificats en utilisant Simple Certificate Enrollment Protocol (SCEP).

Voir To Configure SCEP certificate Information :
Because Configuration Manager cannot verify the contents of the certificate template when you type the name of the certificate template rather than browse, you might be able to select options that the certificate template does not support and that will result in a failed certificate request. When this happens, you will see an error message for w3wp.exe in the CPR.log file that the template name in the certificate signing request (CSR) and the challenge do not match.

Vous devez donc vous assurez que le modèle de certificate sélectionné dans l’assistant de création d’un profil correspondant à celui dans la base de registre du système de site hébergeant le rôle Certificate Registration point.

 

Si ce n’est pas le cas, modifiez les valeurs EncryptionTemplate, GeneralPurposeTemplate et SignatureTemplate avec le nom du modèle. Ces dernières sont stockées dans la clé de registre HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP.

Facebook Like