DSC - 客户端错误 - 私钥无法获得

我有一个WMF5下的Windows 2012R2 DSC拉服务器和WMF5.1下的Windows 2008R2客户端。由于需要访问网络资源，凭证是由拉服务器编码到财政部和加密使用驻留在证书的证书：\ LOCALMACHINE \我DSC - 客户端错误 - 私钥无法获得

基于https://msdn.microsoft.com/en-us/powershell/dsc/securemof的关键是使用创建：

New-SelfsignedCertificateEx ` 
-Subject "CN=${ENV:ComputerName}.${ENV:UserDnsDomain}" ` 
-EKU 'Document Encryption' ` 
-KeyUsage 'KeyEncipherment, DataEncipherment' ` 
-SAN ${ENV:ComputerName}.${ENV:UserDnsDomain} ` 
-FriendlyName 'DSC Credential Encryption certificate' ` 
-Exportable ` 
-StoreLocation 'LocalMachine' ` 
-StoreName 'My' ` 
-KeyLength 2048 ` 
-ProviderName 'Microsoft Enhanced Cryptographic Provider v1.0' ` 
-AlgorithmName 'RSA' ` 
-SignatureAlgorithm 'SHA256' ` 
-NotBefore $effDate ` 
-NotAfter $expiryDate 

我在证书导出这个证书，并将其导入到客户端计算机，也：\ LOCALMACHINE \我使用此命令

certutil -addstore My C:\DSC\DscPublicKey.cer 

两台机器可以找到下面的代码

$Cert = Get-ChildItem -Path cert:\LocalMachine\My | Where-Object { 
    (
     ($_.Issuer -eq $IssuerCN) -and ($_.Subject -eq $IssuerCN) 
    ) 
} 
Write-Host " Thumbprint : " $Cert.Thumbprint 

的证书（与交互式管理员用户运行），我可以在MOF见到拉服务器，加密的凭据。加密似乎按预期工作。

在客户端，MOF处理日志显示MSFT_DSCMetaConfiguration的一个实例，该实例具有用于加密的匹配CertificateID，并且使用函数初始化LCM以提取正确的证书。

function Get-LocalEncryptionCertificateThumbprint 
{ 
    (dir Cert:\LocalMachine\my) | %{ 
     # Verify the certificate is for Encryption and valid 
     If (($_.Issuer -eq $encryCertCN) -and ($_.Subject -eq $encryCertCN) ) 
     { 
      return $_.Thumbprint 
     } 
    } 
} 

但是，Get-DSCConfigurationStatus显示故障状态。当我看着日志，我看到错误

Status = "Failure"; 
Error = "The private key could not be acquired."; 

和我所有的流水线级最终从InDesiredState =假切换;为InDesiredState = True;（我假设DSC是这样做的，以避免永久尝试做某件事情，但它没有希望实现）。

此时我唯一的想法是，客户端的证书不在SYSTEM用户可以访问的位置 - 但我无法将其识别为原因。

如果Cert：\ LocalMachine \我的不是正确的位置 - 应该在哪里安装证书？

编辑：

证书在PULL服务器和出口并手动导入到目标节点的.CER文件上创建（现在 - 最终在AD进行处理）。我也尝试导出完整的PFX并将其导入到目标节点中，结果相同。

在这一点上，我怀疑的是，证书生成，是自签名的，是不够的目的......在一些假设