El error “SCEP Certificate enrollment initialization for local system” indica que Windows 11 no ha podido localizar o renovar un certificado expedido mediante SCEP. Afecta sobre todo a compilaciones Insider/Developer, donde los certificados raíz e intermedios pueden no actualizarse correctamente.
¿Qué provoca el mensaje de error?
Cuando un servicio del sistema intenta acceder a un certificado almacenado en la entidad “Equipo local” y no lo encuentra, el servicio de inscripción (CertEnroll) escribe la alerta en el Visor de eventos (Microsoft‑Windows‑CertificateServicesClient‑SCEP). Las causas más habituales son:
- El certificado expiró y no se ha renovado automáticamente.
- El dispositivo nunca llegó a inscribirse en la CA SCEP configurada.
- Se cambió el identificador de plantilla o de perfil en Intune y el subject ya no coincide.
- Las compilaciones Insider han omitido certificados intermedios, impidiendo la validación de la cadena.
Cómo funciona la inscripción SCEP en Windows 11
SCEP delega en un servidor (NDES) la emisión de certificados basados en plantillas de Active Directory Certificate Services o en una CA alojada en Azure. Windows consulta una URL SCEP, envía un mensaje PKIMessage con un desafío y, si la respuesta es válida, almacena el certificado en el almacén objetivo (Personal o Equipo).
Conceptos clave
- Intune: plataforma MDM/MEM que permite aprovisionar perfiles, certificados y políticas.
- SCEP CA: autoridad de certificación que acepta solicitudes SCEP y las firma automáticamente.
- NDES: rol de Windows Server que expone el punto de inscripción SCEP para una CA corporativa.
- PKI: infraestructura de claves públicas que asegura identidad y cifrado.
Arquitecturas de implementación de CA SCEP
CA local publicada mediante Application Proxy
Ideal si ya existe ADCS on‑premises. El servidor NDES se publica a Internet con Azure AD Application Proxy o VPN, y se asigna una entidad de servicio para que Intune genere códigos de desafío.
CA hospedada en Azure Key Vault Managed HSM
Permite almacenar la clave privada en hardware administrado, con escalado global y auditoría nativa.
CA pública integrada en Microsoft Intune
Para escenarios SaaS puros, Microsoft aloja la CA y elimina la necesidad de servidores IaaS.
Guía práctica para levantar tu propia CA SCEP gestionada por Intune
- Preparar la PKI
- Instala ADCS con la función de Autoridad de Certificación (CA) empresarial.
- Agrega el rol Network Device Enrollment Service en un servidor intermedio.
- Crea una plantilla de certificado (p. ej., “Intune SCEP Client Auth”) habilitando firma y cifrado y marcando Supply in the request.
- Conectar NDES con Azure
- Registra una Azure AD App Registration y concede los permisos Intune Certificate Connector.
- En el portal de Intune, instala el Intune Certificate Connector y vincúlalo con la aplicación.
- Comprueba que el servicio “Microsoft Intune NDES Connector” se inicie sin errores.
- Crear el perfil SCEP en Intune
- Selecciona Dispositivos ▶ Perfiles de configuración ▶ Crear perfil.
- Tipo: “Certificado” · Método: “SCEP”.
- Introduce la URL SCEP (https://<ndes>/certsrv/mscep/mscep.dll).
- Define Subject name como
{{UserPrincipalName}}o{{DeviceId}}. - Habilita los Key Usages “Client Authentication” y “Secure Email” si procede.
- Establece la validez (por ejemplo, 1 año) y el algoritmo RSA 2048 o ECC P‑256.
- Asignar
- Vincula el perfil a un grupo de prueba (p. ej., “W11‑Pilot”).
- Espera a que el dispositivo reciba la política o fuerza la sincronización con dsregcmd /refreshenrollment.
- Verificar la cadena de confianza
- En el cliente, ejecuta
certmgr.mscy comprueba que los certificados raíz e intermedios de la CA aparecen en “Trusted Root” y “Intermediate”. - Si faltan, actualiza con
certutil –generateSSTFromWU roots.sste importa.
- En el cliente, ejecuta
- Auditar
- Activa el registro detallado:
wevtutil sl Microsoft‑Windows‑CertificateServicesClient‑SCEP/Operational / e:true. - Revisa
%SystemRoot%\System32\LogFiles\CertSrv\CertSrv.logen el servidor NDES.
- Activa el registro detallado:
Permisos y roles requeridos
| Rol (Azure AD) | Acción |
|---|---|
| Administrador global | Crear aplicaciones, conceder permisos a Intune, administrar certificados. |
| Administrador de Intune | Crear perfiles SCEP y asignarlos. |
| Operador de certificados | Revisar y revocar certificados en la CA. |
Si tu cuenta carece de estos privilegios, solicita una elevación temporal o delega la tarea de creación del conector en un administrador existente.
Verificaciones y solución de problemas
- Estado del conector: en Intune > >Administración de inquilino< comprueba que el conector esté “Conectado”.
- Reintentos automáticos: por diseño, el servicio SCEP de Windows reintenta la inscripción cada 8 horas; tras solucionar la causa raíz, el error desaparecerá sin intervención.
- Conflicto con ConfigMgr: si el mismo dispositivo está inscrito en MECM (co‑management), asegúrate de que la “MDM Authority” sea Intune para certificados.
- Firewall & TLS: abre los puertos 443 y 80 desde el cliente a NDES; revisa certificados TLS expirados en IIS.
- Renovación anticipada: configura % de umbral (p. ej., 20 %) en la plantilla para evitar expiraciones masivas simultáneas.
¿Es realmente “overkill” para un solo equipo?
Levantar una CA SCEP completa puede parecer excesivo, pero ofrece:
- Laboratorio educativo sobre PKI, Intune y Azure AD.
- Automatización de certificados que escalará si añades móviles o servidores.
- Experiencia práctica para exámenes MS‑500 o SC‑300.
Si solo necesitas autenticación puntual, evalúa alternativas:
- Certificados autofirmados: válidos en entornos cerrados.
- Azure AD Certificate‑Based Authentication (CBA): emite certificados sin SCEP.
- OAuth 2.0 y Entra ID: reemplaza certificados con tokens de acceso.
- Windows Hello for Business: claves provistas por TPM, sin PKI tradicional.
Conclusión
El evento “SCEP Certificate enrollment initialization for local system” señala un fallo al ubicar o renovar certificados en Windows 11. La vía más sólida para erradicarlo es desplegar (o reparar) una CA SCEP administrada por Intune, garantizando la cadena de confianza y concediendo los roles adecuados. Con una configuración correcta, los certificados se emitirán de forma automática y el mensaje dejará de aparecer, al tiempo que dispondrás de una infraestructura escalable y alineada con las buenas prácticas de seguridad corporativa.