Der moderne Arbeitsplatz erfordert Flexibilität und Sicherheit. Mobile Geräte, insbesondere iOS-Geräte, sind dabei unerlässlich. Um diesen Geräten sicheren Zugriff auf Unternehmensressourcen wie WLAN, VPN oder E-Mail zu ermöglichen, sind oft Client-Zertifikate erforderlich. Microsoft Intune bietet in Verbindung mit einer Microsoft PKI und dem Network Device Enrollment Service (NDES) eine robuste Lösung zur automatischen Bereitstellung dieser Zertifikate mittels des Simple Certificate Enrollment Protocol (SCEP) oder PKCS. Doch oft stößt man dabei auf die frustrierende Fehlermeldung „Microsoft PKI Certificate denied request” – ein digitaler „Zugriff verweigert”, der Administratoren Kopfzerbrechen bereiten kann.
Dieser Artikel beleuchtet die häufigsten Ursachen für abgelehnte Zertifikatsanfragen und bietet einen detaillierten, schrittweisen Leitfaden zur Fehlerbehebung. Wir tauchen tief in die Konfiguration von Intune, NDES und Ihrer Zertifizierungsstelle (CA) ein, um Ihnen zu helfen, die Ursache zu finden und Ihre iOS-Geräte sicher zu versorgen.
Warum Client-Zertifikate für iOS-Geräte via Intune/NDES?
Bevor wir ins Troubleshooting einsteigen, kurz zum Kontext: Client-Zertifikate sind der Goldstandard für die Authentifizierung von Geräten an Unternehmensressourcen. Sie bieten eine stärkere Sicherheit als reine Benutzername/Passwort-Authentifizierung und ermöglichen nahtlosen Zugriff. Intune nutzt NDES als Schnittstelle zwischen den mobilen Geräten (die SCEP-Anfragen stellen) und Ihrer internen Microsoft PKI, um diese Zertifikate automatisiert auszustellen. Die PKCS-Zertifikatsprofile in Intune werden dabei auf den iOS-Geräten bereitgestellt und leiten die SCEP-Anfrage an den NDES-Server weiter.
Der „Certificate Denied” Fehler: Wo liegt das Problem?
Der Fehler „Certificate denied request” ist tückisch, da er an vielen Stellen in der Kette auftreten kann:
1. **Intune-Konfiguration:** Fehler im SCEP-Profil oder in den vertrauenswürdigen Zertifikatsprofilen.
2. **NDES-Server:** Probleme mit dem Dienst, IIS, Berechtigungen oder Konfigurationsfehlern.
3. **Zertifizierungsstelle (CA):** Falsche Zertifikatstemplate-Konfiguration, Berechtigungen oder CA-Probleme.
4. **Netzwerk:** Firewall-Regeln, DNS-Probleme oder Konnektivitätsprobleme zwischen den Komponenten.
5. **Gerät (iOS):** Probleme bei der Geräte-Registrierung oder bei der Verarbeitung des Profils.
Lassen Sie uns diese Bereiche systematisch durchgehen.
1. Intune-Konfiguration: Das Fundament überprüfen
Ihre Intune-Konfiguration ist der Ausgangspunkt. Stellen Sie sicher, dass alles korrekt eingerichtet ist.
1.1 Vertrauenswürdige Zertifikatsprofile
Ein häufiger Fehler ist, dass die iOS-Geräte der Zertifizierungsstelle nicht vertrauen.
* **Root-CA-Zertifikat:** Stellen Sie sicher, dass das Root-CA-Zertifikat (und alle Intermediate-CA-Zertifikate) als „Vertrauenswürdiges Zertifikatsprofil” in Intune hochgeladen und auf die Geräte ausgerollt wurde. Ohne dies können die Geräte die von Ihrer CA ausgestellten Zertifikate nicht validieren.
* **Bereitstellungsstatus:** Überprüfen Sie im Intune Admin Center den Bereitstellungsstatus dieser Profile auf den betroffenen iOS-Geräten. Sind sie erfolgreich installiert?
1.2 SCEP-Zertifikatsprofil (PKCS-Konfiguration)
Dies ist das Herzstück Ihrer Zertifikatsanfrage. Jedes Detail zählt.
* **Profilname vs. Vorlagenname:** Stellen Sie sicher, dass der in Intune angegebene Name der Zertifikatvorlage exakt dem „Name der Vorlage” (nicht dem Anzeigenamen!) auf Ihrer CA entspricht. Groß- und Kleinschreibung ist hier wichtig!
* **Subject Name Format:** Für iOS-Geräte ist dies entscheidend. Wählen Sie „Allgemeiner Name als Benutzerprinzipalname (UPN)” oder „Allgemeiner Name als E-Mail-Adresse”. Die CA muss in der Lage sein, den Betreff aus der Anfrage zu verarbeiten. Vermeiden Sie „Allgemeiner Name aus AD-Informationen”, da dies für mobile Geräte, die nicht direkt an AD gebunden sind, zu Problemen führen kann.
* **Subject Alternative Name (SAN):** Überprüfen Sie, ob Sie die richtigen Variablen wie {{UserPrincipalName}} oder {{EmailAddress}} verwenden, wenn Sie erweiterte SANs konfigurieren.
* **Schlüsselverwendung (Key Usage):** Wählen Sie die korrekte Schlüsselverwendung, z.B. „Digitale Signatur” und „Schlüsselverschlüsselung”, je nachdem, wofür das Zertifikat verwendet werden soll (z.B. Client-Authentifizierung). Diese müssen mit den Einstellungen in der Zertifikatvorlage übereinstimmen.
* **Schlüsselgröße (Key Size):** Stellen Sie sicher, dass die Schlüsselgröße (z.B. 2048 Bit) mit den Fähigkeiten der Geräte und den Anforderungen Ihrer CA übereinstimmt.
* **NDES-Server-URL:** Überprüfen Sie, ob die vollständige externe URL Ihres NDES-Servers (z.B. `https://ndes.yourdomain.com/certsrv/mscep/mscep.dll`) korrekt eingegeben ist. Es sollte die URL sein, die von externen Geräten erreichbar ist.
2. NDES-Server-Konfiguration: Der Gateway zum Zertifikat
Der NDES-Server ist die Brücke zwischen Intune und Ihrer CA. Hier lauern viele Fallstricke.
2.1 NDES-Dienst und IIS überprüfen
* **Dienststatus:** Stellen Sie sicher, dass der NDES-Dienst (`Network Device Enrollment Service`) und der IIS (`World Wide Web Publishing Service`) auf dem NDES-Server laufen.
* **IIS-Anwendungspool:** Überprüfen Sie im IIS Manager den Anwendungspool für NDES (normalerweise `SCEP`). Stellen Sie sicher, dass er läuft und die korrekte Identität (normalerweise `NetworkService` oder ein dediziertes Dienstkonto) verwendet.
* **Website-Bindungen:** Vergewissern Sie sich, dass die NDES-Website im IIS mit einem gültigen, vertrauenswürdigen SSL-Zertifikat gebunden ist, das für den FQDN des NDES-Servers ausgestellt wurde.
2.2 NDES-Server-Registrierungseinstellungen
Einige wichtige Registry-Einstellungen auf dem NDES-Server sind entscheidend.
* **`HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMSCEP`**
* `SignatureTemplate`, `EncryptionTemplate`: Überprüfen Sie, ob hier der korrekte **Name der Zertifikatvorlage** (der, den Sie auch in Intune verwendet haben) ohne Leerzeichen oder Sonderzeichen eingetragen ist.
* `AllowAllRequests`: Für Testzwecke können Sie diesen Wert auf `1` setzen, um die Anforderungsvalidierung durch NDES zu lockern. Im Produktivbetrieb sollte er auf `0` stehen, es sei denn, Sie haben spezielle Anforderungen.
* **`HKEY_LOCAL_MACHINESOFTWAREMicrosoftMicrosoft IntuneNDESConnector`**
* Stellen Sie sicher, dass der Connector erfolgreich registriert ist und die Verbindung zu Intune besteht.
2.3 NDES-Dienstkonto-Berechtigungen
Dies ist ein häufiger Fehlergrund. Das Dienstkonto, unter dem der NDES-Dienst läuft, benötigt spezifische Berechtigungen.
* **Auf der CA:** Das NDES-Dienstkonto (oder der NDES-Server-Computername) muss auf der CA die Berechtigung „Zertifikate anfordern” für die verwendeten Zertifikatvorlagen haben. Darüber hinaus benötigt das Konto auf der CA mindestens die Berechtigung „Zertifikate ausstellen und verwalten”.
2.4 NDES-Logs: Die Wahrheit liegt in den Protokollen
Die NDES-Logs sind Ihre besten Freunde bei der Fehlersuche.
* **NDES Connector Logs:** Finden Sie diese unter `C:Program FilesMicrosoft IntuneNDESConnectorLogs`. Suchen Sie nach Fehlern im Zusammenhang mit der Kommunikation zwischen NDES und Intune oder der CA.
* **IIS Logs:** `C:inetpublogsLogFilesW3SVC1` (oder ähnlich). Überprüfen Sie, ob SCEP-Anfragen überhaupt beim NDES-Server ankommen und welche HTTP-Statuscodes zurückgegeben werden (z.B. 403.7 für fehlende Client-Zertifikate).
* **Event Viewer:**
* `Anwendungs- und Dienstprotokolle` -> `Microsoft` -> `Windows` -> `NetworkDeviceEnrollmentService`: Hier finden Sie detaillierte Fehlermeldungen des NDES-Dienstes, z.B. Probleme mit der Zertifikatvorlage oder Berechtigungen.
* `System` und `Anwendung` Protokolle: Suchen Sie nach allgemeinen Dienstfehlern.
3. Zertifizierungsstelle (CA) Konfiguration: Die Quelle der Zertifikate
Ihre interne PKI ist das Backend, das die Zertifikate tatsächlich ausstellt. Fehler hier führen direkt zu abgelehnten Anfragen.
3.1 Zertifikatvorlage: Der Blaupause des Zertifikats
Dies ist der kritischste Punkt. Jeder Fehler in der Vorlage führt zu einer Ablehnung.
* **Kompatibilitätseinstellungen:** Stellen Sie sicher, dass die Kompatibilitätseinstellungen (Zertifizierungsstelle und Zertifikatsempfänger) mit Ihrer Umgebung übereinstimmen.
* **Berechtigungen:**
* **NDES-Dienstkonto/Server:** Das Dienstkonto, unter dem NDES läuft (oder der NDES-Server-Computeraccount), muss in den Berechtigungen der **Zertifikatvorlage** mindestens „Lesen” und „Registrieren” (Enroll) haben.
* **Intune Connector Account:** Das Konto, das der Intune Certificate Connector verwendet, muss ebenfalls Berechtigungen zum „Lesen” und „Registrieren” für diese Vorlage haben.
* **Authentifizierte Benutzer:** Oft müssen „Authentifizierte Benutzer” (oder die entsprechende Gruppe) auch „Registrieren” dürfen, um SCEP-Anfragen über den NDES verarbeiten zu können.
* **Antragsbehandlungs-Einstellungen:**
* **Schlüsselverwendung:** Muss mit der in Intune ausgewählten Schlüsselverwendung übereinstimmen (z.B. „Digitale Signatur, Schlüsselverschlüsselung”).
* **Export des privaten Schlüssels:** Wählen Sie „Privaten Schlüssel exportieren zulassen” (falls erforderlich für bestimmte Szenarien, aber für SCEP normalerweise nicht direkt relevant).
* **Antragstellername (Subject Name):** Dies ist extrem wichtig für SCEP. Wählen Sie „In der Anforderung angeben” (`Supply in the request`). Wenn Sie hier „Aus Active Directory-Informationen erstellen” wählen, wird die Zertifikatsanfrage abgelehnt, da iOS-Geräte diese Informationen nicht bereitstellen und NDES sie nicht ausfüllen kann.
* **Erweiterungen:** Überprüfen Sie, ob „Clientauthentifizierung” in den Anwendungspolicys der Vorlage aufgeführt ist, wenn das Zertifikat zur Client-Authentifizierung verwendet werden soll.
* **Gültigkeitsdauer:** Stellen Sie sicher, dass die Gültigkeitsdauer angemessen ist und nicht zu kurz oder zu lang.
* **Vorlage veröffentlichen:** Vergewissern Sie sich, dass die Zertifikatvorlage auf der CA veröffentlicht ist und nicht nur erstellt wurde.
3.2 CA-Logs und abgelehnte Anfragen
* **Event Viewer der CA:** Unter `Anwendung und Dienste` -> `Microsoft` -> `Windows` -> `CertificationServices` finden Sie detaillierte Protokolle der CA. Suchen Sie nach Fehlern im Zusammenhang mit der Zertifikatserteilung.
* **Abgelehnte Anforderungen:** Öffnen Sie die „Zertifizierungsstelle” Konsole, navigieren Sie zu „Abgelehnte Anforderungen”. Hier sehen Sie die genauen Ablehnungsgründe, wie z.B. „Der Name des Antragstellers ist in der Zertifikatanforderung nicht enthalten oder ist ungültig” (häufig bei falscher Subject Name-Einstellung in der Vorlage) oder „Die Berechtigung zum Registrieren wurde verweigert”. Dieser Bereich ist eine Goldgrube für die Fehlersuche.
3.3 CRL/OCSP
* **Erreichbarkeit:** Stellen Sie sicher, dass die Sperrlisten (CRL) und/oder OCSP-Responder öffentlich erreichbar sind, falls dies in Ihren Zertifikaten konfiguriert ist.
4. Netzwerk und Firewall: Die unsichtbaren Barrieren
Oft sind es einfache Netzwerkprobleme, die den Prozess zum Stillstand bringen.
* **NDES zu CA:** Der NDES-Server muss in der Lage sein, über RPC/DCOM mit der CA zu kommunizieren. Stellen Sie sicher, dass Firewalls diese Kommunikation zulassen (Port 135 TCP für RPC Endpoint Mapper und dynamische Ports 1024-5000 oder 49152-65535 für RPC).
* **Intune Connector zu NDES:** Der Intune Certificate Connector auf dem NDES-Server muss mit Intune kommunizieren können.
* **iOS-Geräte zu NDES:** Die iOS-Geräte müssen den NDES-Server über die SCEP-URL erreichen können (Port 443 TCP). Stellen Sie sicher, dass alle externen Firewalls den Zugriff auf Ihren NDES-Server auf Port 443 zulassen und dass die DNS-Auflösung korrekt funktioniert.
5. Geräte-Seite (iOS): Der letzte Schritt
Manchmal liegt das Problem beim Gerät selbst.
* **Intune-Verwaltung:** Überprüfen Sie im Intune Admin Center den Gerätestatus. Ist das Gerät korrekt registriert und konform?
* **Profilstatus:** Sehen Sie sich den Status des SCEP-Zertifikatsprofils auf dem Gerät an. Steht es auf „Fehlgeschlagen” oder „Ausstehend”?
* **Geräteprotokolle:** Auch wenn iOS-Protokolle schwer zugänglich sind, können manchmal Hinweise in den MDM-Protokollen (falls verfügbar und auswertbar) oder in der Geräte-Info-App gefunden werden, die auf Konnektivitätsprobleme oder Ablehnungen hinweisen.
* **VPN/Proxy:** Wenn das Gerät über VPN oder einen Proxy auf das Unternehmensnetzwerk zugreift, stellen Sie sicher, dass diese Verbindungen stabil sind und die NDES-URL erreichen können.
Häufige Fallstricke und Best Practices
* **Mismatched Names:** Der häufigste Fehler ist ein Tippfehler oder eine Nichtübereinstimmung zwischen dem Namen der Zertifikatvorlage in Intune, der Registry des NDES-Servers und dem tatsächlichen Vorlagenname auf der CA.
* **Berechtigungen:** Immer wieder ein Klassiker. Doppelt und dreifach die Berechtigungen für das NDES-Dienstkonto auf der CA und der Zertifikatvorlage prüfen.
* **Subject Name für SCEP:** Stellen Sie immer sicher, dass die Option „In der Anforderung angeben” in der Zertifikatvorlage aktiviert ist, wenn Sie sie für SCEP/NDES verwenden.
* **Dedicated Service Account:** Verwenden Sie ein dediziertes Dienstkonto für den NDES-Dienst. Dies vereinfacht die Berechtigungsverwaltung und die Fehlerbehebung.
* **Neustart:** Nach Änderungen an der CA-Vorlage, den NDES-Registry-Einstellungen oder dem NDES-Dienstkonto ist ein Neustart des NDES-Dienstes und oft auch des NDES-Servers selbst ratsam.
* **Schrittweise Implementierung:** Beginnen Sie mit einer einfachen Zertifikatvorlage mit minimalen Anforderungen, um die grundlegende Funktionalität zu testen, bevor Sie komplexe Szenarien implementieren.
* **Port-Konflikte:** Stellen Sie sicher, dass keine anderen Dienste auf dem NDES-Server Port 443 belegen.
Fazit
Die Fehlermeldung „Microsoft PKI Certificate denied request” kann entmutigend sein, aber mit einem systematischen Ansatz und genauer Überprüfung aller beteiligten Komponenten – von Intune über den NDES-Server bis hin zur Zertifizierungsstelle – lässt sich die Ursache in den meisten Fällen finden und beheben. Nutzen Sie die verfügbaren Protokolle und die „Abgelehnte Anforderungen” der CA als Ihre wichtigsten Werkzeuge. Bleiben Sie geduldig, gehen Sie Schritt für Schritt vor, und bald werden Ihre iOS-Geräte nahtlos und sicher mit den notwendigen Zertifikaten versorgt sein.