Freigeben über

Problembehandlung bei der Bereitstellung von Zertifikaten, die von SCEP an Geräte in Microsoft Intune bereitgestellt werden

  • Artikel

Dieser Artikel enthält Anleitungen zur Problembehandlung, mit denen Sie die Übermittlung von Zertifikaten an Geräte untersuchen können, wenn Sie das Simple Certificate Enrollment Protocol (SCEP) zum Bereitstellen von Zertifikaten in Intune verwenden. Nachdem der Netzwerkgeräteregistrierungsdienst (Network Device Enrollment Service, NDES) das angeforderte Zertifikat für ein Gerät von der Zertifizierungsstelle erhält, übergibt es dieses Zertifikat an das Gerät zurück.

Dieser Artikel bezieht sich auf schritt 5 des SCEP-Kommunikationsworkflows; Übermittlung des Zertifikats an das Gerät, das die Zertifikatanforderung übermittelt hat.

Überprüfen der Zertifizierungsstelle

Wenn die Zertifizierungsstelle das Zertifikat ausgestellt hat, wird ein Eintrag wie im folgenden Beispiel der Zertifizierungsstelle angezeigt:

Screenshot eines Beispiels für ausgestellte Zertifikate.

Überprüfen des Geräts

Android

Bei registrierten Geräten des Geräteadministrators wird eine Benachrichtigung wie das folgende Image angezeigt, in dem Sie aufgefordert werden, das Zertifikat zu installieren:

Screenshot einer Android-Benachrichtigung.

Für Android Enterprise oder Samsung Knox wird die Zertifikatinstallation automatisch und automatisch ausgeführt.

Verwenden Sie zum Anzeigen eines installierten Zertifikats unter Android eine App zum Anzeigen eines Drittanbieterzertifikats.

Sie können auch das OMADM-Protokoll der Geräte überprüfen. Suchen Sie nach Einträgen, die den folgenden Beispielen ähneln, die beim Installieren von Zertifikaten protokolliert werden:

Stammzertifikat:

2018-02-27T04:50:52.1890000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        9    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALL_REQUESTED
2018-02-27T04:53:31.1300000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        0    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T04:53:32.0390000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595       14    Root cert '17…' state changed from CERT_INSTALLING to CERT_INSTALL_SUCCESS

Über SCEP bereitgestelltes Zertifikat

2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    There are 1 requests
2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    Trying to enroll certificate request: ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787
2018-02-27T05:16:20.6150000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:20.6530000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:21.7460000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.7890000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:28.0340000    VERB    Event     org.jscep.transaction.EnrollmentTransaction    18327       10    Response: org.jscep.message.CertRep@3150777b[failInfo=<null>,pkiStatus=SUCCESS,recipientNonce=Nonce [GUID],messageData=org.spongycastle.cms.CMSSignedData@27cc8998,messageType=CERT_REP,senderNonce=Nonce [GUID],transId=TRANSID]
2018-02-27T05:16:28.2440000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       10    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ENROLLED to CERT_INSTALL_REQUESTED
2018-02-27T05:18:44.9820000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327        0    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T05:18:45.3460000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       14    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALLING to CERT_ACCESS_REQUESTED
2018-02-27T05:20:15.3520000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       21    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ACCESS_REQUESTED to CERT_ACCESS_GRANTED

iOS/iPadOS

Auf dem iOS/iPadOS- oder iPadOS-Gerät können Sie das Zertifikat unter dem Geräteverwaltung Profil anzeigen. Führen Sie einen Drilldown aus, um Details zu installierten Zertifikaten anzuzeigen.

Screenshot von iOS-Zertifikaten unter dem Geräteverwaltung Profil.

Sie können auch Einträge finden, die dem folgenden im iOS-Debugprotokoll ähneln:

Debug 18:30:53.691033 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\  
Debug 18:30:54.640644 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
Debug 18:30:55.487908 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgMFADCABgkqhkiG9w0BBwGggCSABIIZfzCABgkqhkiG9w0BBwOggDCAAgEAMYIBgjCCAX4CAQAwZjBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxHDAaBgoJkiaJk/IsZAEZFgxmb3VydGhjb2ZmZWUxGDAWBgNVBAMTD0ZvdXJ0aENvZmZlZSBDQQITaAAAAAmaneVjEPlcTwAAAAAACTANBgkqhkiG9w0BAQEFAASCAQCqfsOYpuBToerQLkw/tl4tH9E+97TBTjGQN9NCjSgb78fF6edY0pNDU+PH4RB356wv3rfZi5IiNrVu5Od4k6uK4w0582ZM2n8NJFRY7KWSNHsmTIWlo/Vcr4laAtq5rw+CygaYcefptcaamkjdLj07e/Uk4KsetGo7ztPVjSEFwfRIfKv474dLDmPqp0ZwEWRQG 
Debug 18:30:57.285730 -0500 profiled Adding dependent Microsoft.Profiles.MDM to parent www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 in domain ManagedProfileToManagingProfile to system\ 
Default 18:30:57.320616 -0500 profiled Profile \'93www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295\'94 installed.\

Windows

Überprüfen Sie auf einem Windows-Gerät, ob das Zertifikat übermittelt wurde:

  • Führen Sie eventvwr.msc aus, um Ereignisanzeige zu öffnen. Wechseln Sie zu Anwendungen und Diensten protokollieren>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin, und suchen Sie nach Ereignis 39. Dieses Ereignis sollte eine allgemeine Beschreibung von: SCEP: Zertifikat erfolgreich installiert haben.

    Screenshot des Ereignisses 39 im Windows-Anwendungsprotokoll.

Um das Zertifikat auf dem Gerät anzuzeigen, führen Sie certmgr.msc aus, um das MMC der Zertifikate zu öffnen und zu überprüfen, ob die Stamm- und SCEP-Zertifikate auf dem Gerät im persönlichen Speicher ordnungsgemäß installiert sind:

  1. Wechseln Sie zu Zertifikaten (lokaler Computer)>Vertrauenswürdige Stammzertifizierungsstellenzertifikate>, und stellen Sie sicher, dass das Stammzertifikat ihrer Zertifizierungsstelle vorhanden ist. Die Werte für "Ausgestellt an" und "Ausgestellt von" sind identisch.
  2. Wechseln Sie im MMC "Zertifikate" zu "Zertifikate – Aktuelle persönliche>Benutzerzertifikate>", und überprüfen Sie, ob das angeforderte Zertifikat vorhanden ist, wobei "Ausgestellt von" dem Namen der Zertifizierungsstelle entspricht.

Beheben von Fehlern

Android

Um die Zertifikatübermittlung zu beheben, überprüfen Sie Fehler, die im OMA DM-Protokoll protokolliert werden.

iOS/iPadOS

Um die Zertifikatübermittlung zu beheben, überprüfen Sie Fehler, die im Debugprotokoll der Geräte protokolliert werden.

Windows

Um Probleme mit dem Zertifikat zu beheben, das nicht auf dem Gerät installiert wird, suchen Sie im Windows-Ereignisprotokoll nach Fehlern, die Probleme vorschlagen:

  • Führen Sie auf dem Gerät eventvwr.msc aus, um Ereignisanzeige zu öffnen, und wechseln Sie dann zu "Anwendungen und Diensteprotokolle>" von Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin.

Fehler bei der Übermittlung und Installation des Zertifikats auf dem Gerät beziehen sich in der Regel auf Windows-Vorgänge und nicht auf Intune.

Nächste Schritte

Wenn das Zertifikat erfolgreich auf dem Gerät bereitgestellt wird, in Intune jedoch nicht erfolgreich gemeldet wird, lesen Sie die NDES-Berichterstellung an Intune , um Probleme mit der Berichterstellung zu beheben.