Freigeben über

Problembehandlung bei der PKCS-Zertifikatbereitstellung in Intune

  • Artikel

Dieser Artikel enthält Anleitungen zur Problembehandlung für mehrere häufige Probleme beim Bereitstellen von PKCS-Zertifikaten (Public Key Cryptography Standards) in Microsoft Intune. Stellen Sie vor der Problembehandlung sicher, dass Sie die folgenden Aufgaben abgeschlossen haben, wie unter "Konfigurieren und Verwenden von PKCS-Zertifikaten mit Intune" erläutert:

  • Überprüfen Sie die Anforderungen für die Verwendung von PKCS-Zertifikatprofilen.
  • Exportieren Sie das Stammzertifikat aus der Zertifizierungsstelle (Enterprise Certification Authority, CA).
  • Konfigurieren Sie Zertifikatvorlagen für die Zertifizierungsstelle.
  • Installieren und konfigurieren Sie den Intune-Zertifikatconnector.
  • Erstellen und Bereitstellen eines vertrauenswürdigen Zertifikatprofils zum Bereitstellen des Stammzertifikats.
  • Erstellen und Bereitstellen eines PKCS-Zertifikatprofils.

Die häufigste Ursache von Problemen für PKCS-Zertifikatprofile war die Konfiguration des PKCS-Zertifikatprofils. Überprüfen Sie die Konfiguration der Profile, und suchen Sie nach Tippfehlern in Servernamen oder vollqualifizierten Domänennamen (FQDNs), und bestätigen Sie, dass der Name der Zertifizierungsstelle und der Zertifizierungsstelle korrekt sind.

  • Zertifizierungsstelle: Der interne FQDN des Zertifizierungsstellencomputers. Beispiel: server1.domain.local.
  • Name der Zertifizierungsstelle: Der Name der Zertifizierungsstelle, wie in der Zertifizierungsstelle MMC angezeigt. Unter Zertifizierungsstelle (lokal) suchen

Sie können das Befehlszeilenprogramm certutil auf der Zertifizierungsstelle verwenden, um den richtigen Namen für den Zertifizierungsstellen- und Zertifizierungsstellennamen zu bestätigen.

PKCS-Kommunikationsübersicht

Die folgende Grafik enthält eine grundlegende Übersicht über den PKCS-Zertifikatbereitstellungsprozess in Intune.

Screenshot des PKCS-Zertifikatprofilablaufs.

  1. Ein Administrator erstellt ein PKCS-Zertifikatprofil in Intune.
  2. Der Intune-Dienst fordert an, dass der lokale Intune-Zertifikatconnector ein neues Zertifikat für den Benutzer erstellt.
  3. Der Intune-Zertifikatconnector sendet ein PFX-Blob und fordert sie an Ihre Microsoft-Zertifizierungsstelle an.
  4. Die Zertifizierungsstelle gibt Probleme aus und sendet das PFX-Benutzerzertifikat an den Intune-Zertifikatconnector.
  5. Der Intune-Zertifikatconnector lädt das verschlüsselte PFX-Benutzerzertifikat in Intune hoch.
  6. Intune entschlüsselt das PFX-Benutzerzertifikat und verschlüsselt das Gerät mithilfe des Geräteverwaltung-Zertifikats erneut. Intune sendet dann das PFX-Benutzerzertifikat an das Gerät.
  7. Das Gerät meldet den Zertifikatstatus an Intune.

Protokolldateien

Um Probleme für den Kommunikations- und Zertifikatbereitstellungsworkflow zu identifizieren, überprüfen Sie Protokolldateien sowohl aus der Serverinfrastruktur als auch von Geräten. In späteren Abschnitten zur Problembehandlung von PKCS-Zertifikatprofilen finden Sie in den Protokolldateien, auf die in diesem Abschnitt verwiesen wird.

Geräteprotokolle hängen von der Geräteplattform ab:

Protokolle für lokale Infrastruktur

Lokale Infrastruktur, die die Verwendung von PKCS-Zertifikatprofilen für Zertifikatbereitstellungen unterstützt, umfasst den Microsoft Intune-Zertifikatkonnektor und die Zertifizierungsstelle.

Protokolldateien für diese Rollen umfassen Windows Ereignisanzeige, Zertifikatkonsolen und verschiedene Protokolldateien, die für den Intune-Zertifikatconnector spezifisch sind, oder andere Rollen und Vorgänge, die Teil der lokalen Infrastruktur sind.

  • NDESConnector_date_time.svclog:

    Dieses Protokoll zeigt die Kommunikation vom Microsoft Intune-Zertifikatconnector zum Intune-Clouddienst an. Sie können das Dienstablaufverfolgungs-Viewer-Tool verwenden, um diese Protokolldatei anzuzeigen.

    Verwandter Registrierungsschlüssel: HKLM\SW\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

    Speicherort: Auf dem Server, auf dem der Intune-Zertifikatconnector gehostet wird, unter %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs\logs

  • Windows-Anwendungsprotokoll:

    Speicherort: Führen Sie auf dem Server, auf dem der Intune-Zertifikatconnector gehostet wird: Führen Sie eventvwr.msc aus, um Windows Ereignisanzeige

Protokolle für Android-Geräte

Verwenden Sie für Geräte, die Android ausführen, Unternehmensportal App-Protokolldatei OMADM.log. Bevor Sie Protokolle sammeln und überprüfen, stellen Sie sicher, dass die ausführliche Protokollierung aktiviert ist, und reproduzieren Sie dann das Problem.

Informationen zum Sammeln der OMADM.logs von einem Gerät finden Sie unter "Hochladen" und "E-Mail-Protokolle" mit einem USB-Kabel.

Sie können auch Upload- und E-Mail-Protokolle zur Unterstützung hochladen.

Protokolle für iOS- und iPadOS-Geräte

Für Geräte mit iOS/iPadOS verwenden Sie Debugprotokolle und Xcode , die auf einem Mac-Computer ausgeführt werden:

  1. Verbinden Sie das iOS-/iPadOS-Gerät mit Mac, und wechseln Sie dann zu "Dienstprogramme für Anwendungen>", um die Konsolen-App zu öffnen.

  2. Wählen Sie unter "Aktion" die Option "Infonachrichten einschließen" und "Debugnachrichten einschließen" aus.

    Screenshot der Optionen

  3. Reproduzieren Sie das Problem, und speichern Sie die Protokolle dann in einer Textdatei:

    1. Wählen Sie "Alle bearbeiten">aus, um alle Nachrichten auf dem aktuellen Bildschirm auszuwählen, und wählen Sie dann "Kopie bearbeiten"> aus, um die Nachrichten in die Zwischenablage zu kopieren.
    2. Öffnen Sie die TextEdit-Anwendung, fügen Sie die kopierten Protokolle in eine neue Textdatei ein, und speichern Sie dann die Datei.

Das Unternehmensportal-Protokoll für iOS- und iPadOS-Geräte enthält keine Informationen zu PKCS-Zertifikatprofilen.

Protokolle für Windows-Geräte

Verwenden Sie für Geräte, die Windows-Ereignisprotokolle ausführen, um Registrierungs- oder Geräteverwaltungsprobleme für Geräte zu diagnostizieren, die Sie mit Intune verwalten.

Öffnen Sie auf dem Gerät Ereignisanzeige> Applications and Services Logs>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider

Screenshot der Windows-Ereignisprotokolle.

Antivirenausschlüsse

Erwägen Sie das Hinzufügen von Antivirusausschlüssen auf Servern, die den Intune-Zertifikatconnector hosten, wenn:

  • Zertifikatanforderungen erreichen den Server oder den Intune-Zertifikatconnector, werden jedoch nicht erfolgreich verarbeitet.
  • Zertifikate werden langsam ausgestellt

Im Folgenden sind Beispiele für Speicherorte aufgeführt, die Sie ausschließen können:

  • %program_files%\Microsoft Intune\PfxRequest
  • %program_files%\Microsoft Intune\CertificateRequestStatus
  • %program_files%\Microsoft Intune\CertificateRevocationStatus

Häufige Fehler

Die folgenden allgemeinen Fehler werden in einem folgenden Abschnitt behandelt:

Der RPC-Server ist nicht verfügbar 0x800706ba

Während der PFX-Bereitstellung wird das vertrauenswürdige Stammzertifikat auf dem Gerät angezeigt, das PFX-Zertifikat wird jedoch nicht auf dem Gerät angezeigt. Die Protokolldatei NDESConnector_date_time.svclog enthält die Zeichenfolge , die der RPC-Server nicht verfügbar ist. 0x800706ba, wie in der ersten Zeile des folgenden Beispiels zu sehen ist:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x800706BA): CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
IssuePfx -Generic Exception: System.ArgumentException: CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094800): The requested certificate template is not supported by this CA. (Exception from HRESULT: 0x80094800)

Ursache 1 : Falsche Konfiguration der Zertifizierungsstelle in Intune

Dieses Problem kann auftreten, wenn das PKCS-Zertifikatprofil den falschen Server angibt oder Rechtschreibfehler für den Namen oder den FQDN der Zertifizierungsstelle enthält. Die Zertifizierungsstelle wird in den folgenden Eigenschaften des Profils angegeben:

  • Zertifizierungsstelle
  • Name der Zertifizierungsstelle

Lösung:

Überprüfen Sie die folgenden Einstellungen, und beheben Sie, wenn sie falsch sind:

  • Die Zertifizierungsstelleneigenschaft zeigt den internen FQDN Ihres Zertifizierungsstellenservers an.
  • Die Nameeigenschaft der Zertifizierungsstelle zeigt den Namen Ihrer Zertifizierungsstelle an.

Ursache 2: Die Zertifizierungsstelle unterstützt keine Zertifikatverlängerung für Anforderungen, die von früheren Zertifizierungsstellenzertifikaten signiert wurden.

Wenn der Zertifizierungsstellen-FQDN und der Name im PKCS-Zertifikatprofil korrekt sind, überprüfen Sie das Windows-Anwendungsprotokoll, das sich auf dem Zertifizierungsstellenserver befindet. Suchen Sie nach einer Ereignis-ID 128 , die dem folgenden Beispiel ähnelt:

Log Name: Application:
Source: Microsoft-Windows-CertificationAuthority
Event ID: 128
Level: Warning
Details:
An Authority Key Identifier was passed as part of the certificate request 2268. This feature has not been enabled. To enable specifying a CA key for certificate signing, run: "certutil -setreg ca\UseDefinedCACertInRequest 1" and then restart the service.

Wenn das Zertifizierungsstellenzertifikat erneuert wird, muss es das OCSP-Antwortsignaturzertifikat (Online Certificate Status Protocol) signieren. Durch signieren kann das OCSP-Antwortsignaturzertifikat andere Zertifikate überprüfen, indem der Sperrstatus überprüft wird. Diese Signatur ist standardmäßig nicht aktiviert.

Lösung:

Manuelles Erzwingen der Signatur des Zertifikats:

  1. Öffnen Sie auf dem Zertifizierungsstellenserver eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie den folgenden Befehl aus: certutil -setreg ca\UseDefinedCACertInRequest 1
  2. Starten Sie den Zertifikatdienstedienst neu.

Nachdem der Zertifikatdienst neu gestartet wurde, können Geräte Zertifikate empfangen.

Ein Registrierungsrichtlinienserver kann nicht 0x80094015

Ein Registrierungsrichtlinienserver kann nicht gefunden werden und 0x80094015, wie im folgenden Beispiel gezeigt:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094015): An enrollment policy server cannot be located. (Exception from HRESULT: 0x80094015)

Ursache: Servername der Zertifikatregistrierungsrichtlinie

Dieses Problem tritt auf, wenn der Computer, auf dem der Intune-Zertifikatconnector gehostet wird, keinen Zertifikatregistrierungsrichtlinienserver finden kann.

Lösung:

Konfigurieren Sie manuell den Namen des Zertifikatregistrierungsrichtlinienservers auf dem Computer, auf dem der Intune-Zertifikatconnector gehostet wird. Verwenden Sie zum Konfigurieren des Namens das PowerShell-Cmdlet "Add-CertificateEnrollmentPolicyServer ".

Die Übermittlung steht aus

Nachdem Sie ein PKCS-Zertifikatprofil auf mobilen Geräten bereitgestellt haben, werden die Zertifikate nicht abgerufen, und das protokoll NDESConnector_date_time.svclog enthält die Zeichenfolge Die Übermittlung steht aus, wie im folgenden Beispiel gezeigt:

IssuePfx - The submission is pending: Taken Under Submission
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission is pending

Darüber hinaus können Sie auf dem Zertifizierungsstellesserver die PFX-Anforderung im Ordner "Ausstehende Anforderungen " sehen:

Screenshot des Ordners

Ursache : Falsche Konfiguration für die Anforderungsbehandlung

Dieses Problem tritt auf, wenn die Option "Anforderungsstatus auf ausstehend" festlegen. Der Administrator muss das Zertifikat explizit ausstellen, das im Dialogfeld Eigenschaften des Richtlinienmoduls>>der Zertifizierungsstelle ausgewählt ist.

Screenshot der Eigenschaften des Richtlinienmoduls.

Lösung:

Bearbeiten Sie die festzulegenden Richtlinienmoduleigenschaften: Folgen Sie ggf. den Einstellungen in der Zertifikatvorlage. Andernfalls wird das Zertifikat automatisch ausstellen.

Der Parameter ist falsch 0x80070057

Wenn der Intune-Zertifikatconnector erfolgreich installiert und konfiguriert wurde, empfangen Geräte keine PKCS-Zertifikate, und das protokoll NDESConnector_date_time.svclog enthält die Zeichenfolge Der Parameter ist falsch. 0x80070057, wie im folgenden Beispiel gezeigt:

CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

Ursache – Konfiguration des PKCS-Profils

Dieses Problem tritt auf, wenn das PKCS-Profil in Intune falsch konfiguriert ist. Es folgen häufige Fehlkonfigurationen:

  • Das Profil enthält einen falschen Namen für die Zertifizierungsstelle.
  • Der alternative Antragstellername (Subject Alternative Name, SAN) ist für die E-Mail-Adresse konfiguriert, der Zielbenutzer verfügt jedoch noch nicht über eine gültige E-Mail-Adresse. Diese Kombination führt zu einem Nullwert für das SAN, das ungültig ist.

Lösung:

Überprüfen Sie die folgenden Konfigurationen für das PKCS-Profil, und warten Sie dann, bis die Richtlinie auf dem Gerät aktualisiert wird:

  • Konfiguriert mit dem Namen der Zertifizierungsstelle
  • Zugewiesen an die richtige Benutzergruppe
  • Benutzer in der Gruppe verfügen über gültige E-Mail-Adressen

Weitere Informationen finden Sie unter Konfigurieren und Verwenden von PKCS-Zertifikaten mit Intune.

Vom Richtlinienmodul verweigert

Wenn Geräte das vertrauenswürdige Stammzertifikat empfangen, aber das PFX-Zertifikat nicht erhalten und das NDESConnector_date_time.svclog-Protokoll die Zeichenfolge enthält, ist die Übermittlung fehlgeschlagen: Vom Richtlinienmodul verweigert, wie im folgenden Beispiel gezeigt:

IssuePfx - The submission failed: Denied by Policy Module
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission failed
   at Microsoft.Management.Services.NdesConnector.MicrosoftCA.GetCertificate(PfxRequestDataStorage pfxRequestData, String containerName, String& certificate, String& password)
Issuing Pfx certificate for Device ID <Device ID> failed

Ursache – Computerkontoberechtigungen für die Zertifikatvorlage

Dieses Problem tritt auf, wenn das Computerkonto des Servers, auf dem der Intune-Zertifikatconnector gehostet wird, keine Berechtigungen für die Zertifikatvorlage besitzt.

Lösung:

  1. Melden Sie sich mit einem Konto mit Administratorrechten bei Ihrer Unternehmenszertifizierungsstelle an.
  2. Öffnen Sie die Konsole der Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie "Verwalten" aus.
  3. Suchen Sie die Zertifikatvorlage, und öffnen Sie das Dialogfeld "Eigenschaften " der Vorlage.
  4. Wählen Sie die Registerkarte "Sicherheit " aus, und fügen Sie das Computerkonto für den Server hinzu, auf dem Sie den Microsoft Intune-Zertifikatconnector installiert haben. Erteilen Sie diesem Konto Lese- und Registrierungsberechtigungen.
  5. Wählen Sie "OK übernehmen">aus, um die Zertifikatvorlage zu speichern, und schließen Sie dann die Zertifikatvorlagenkonsole.
  6. Klicken Sie in der Konsole der Zertifizierungsstelle mit der rechten Maustaste auf zertifikatvorlagen>neue>Zertifikatvorlage, die ausgegeben werden soll.
  7. Wählen Sie die vorlage aus, die Sie geändert haben, und klicken Sie dann auf "OK".

Weitere Informationen finden Sie unter Konfigurieren von Zertifikatvorlagen auf der Zertifizierungsstelle.

Zertifikatprofil bleibt als ausstehend hängen

Im Microsoft Intune Admin Center können PKCS-Zertifikatprofile nicht mit dem Status " Ausstehend" bereitgestellt werden. Die Protokolldatei NDESConnector_date_time.svclog enthält keine offensichtlichen Fehler. Da die Ursache dieses Problems in Protokollen nicht eindeutig identifiziert wird, können Sie die folgenden Ursachen durcharbeiten.

Ursache 1 : Nicht verarbeitete Anforderungsdateien

Überprüfen Sie die Anforderungsdateien auf Fehler, die angeben, warum sie nicht verarbeitet werden konnten.

  1. Verwenden Sie auf dem Server, auf dem der Intune-Zertifikatconnector gehostet wird, Explorer, um zu %programfiles%\Microsoft Intune\PfxRequest zu navigieren.

  2. Überprüfen Sie Dateien in den Ordnern "Fehlgeschlagen" und "Verarbeitung" mit Ihrem bevorzugten Text-Editor.

    Screenshot des Ordners

  3. Suchen Sie in diesen Dateien nach Einträgen, die Fehler angeben oder Probleme vorschlagen. Suchen Sie mithilfe einer webbasierten Suche nach den Fehlermeldungen, warum die Anforderung nicht verarbeitet werden konnte, und nach Lösungen für diese Probleme.

Ursache 2 : Fehlkonfiguration für das PKCS-Zertifikatprofil

Wenn Sie keine Anforderungsdateien in den Ordnern "Fehlgeschlagen", "Verarbeitung" oder "Erfolgreich" finden, kann die Ursache sein, dass das falsche Zertifikat dem PKCS-Zertifikatprofil zugeordnet ist. Beispielsweise wird dem Profil eine untergeordnete Zertifizierungsstelle zugeordnet, oder das falsche Stammzertifikat wird verwendet.

Lösung:

  1. Überprüfen Sie Ihr vertrauenswürdiges Zertifikatprofil, um sicherzustellen, dass Sie das Stammzertifikat von Ihrer Unternehmenszertifizierungsstelle auf Geräten bereitgestellt haben.
  2. Überprüfen Sie Ihr PKCS-Zertifikatprofil, um sicherzustellen, dass es auf die richtige Zertifizierungsstelle, den Zertifikattyp und das vertrauenswürdige Zertifikatprofil verweist, das das Stammzertifikat auf Geräten bereitstellt.

Weitere Informationen finden Sie unter Verwenden von Zertifikaten für die Authentifizierung in Microsoft Intune.

Fehler -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

PKCS-Zertifikate können nicht bereitgestellt werden, und die Zertifikatkonsole in der ausstellenden Zertifizierungsstelle zeigt eine Meldung mit der Zeichenfolge -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED an, wie im folgenden Beispiel gezeigt:

Active Directory Certificate Services denied request abc123 because The Email name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). The request was for CN=" Common Name".  Additional information: Denied by Policy Module".

Ursache : "Bereitstellen in der Anforderung" ist falsch konfiguriert.

Dieses Problem tritt auf, wenn die Option "Bereitstellen" in der Anforderungsoption auf der Registerkarte "Antragstellername" im Dialogfeld "Eigenschaften" der Zertifikatvorlage nicht aktiviert ist.

Screenshot der NDES-Eigenschaften, in denen die Option

Lösung:

Bearbeiten Sie die Vorlage, um das Konfigurationsproblem zu beheben:

  1. Melden Sie sich mit einem Konto mit Administratorrechten bei Ihrer Unternehmenszertifizierungsstelle an.
  2. Öffnen Sie die Konsole der Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie "Verwalten" aus.
  3. Öffnen Des Dialogfelds "Eigenschaften" der Zertifikatvorlage.
  4. Wählen Sie auf der Registerkarte "Antragstellername " die Option "Angeben" in der Anforderung aus.
  5. Wählen Sie "OK" aus, um die Zertifikatvorlage zu speichern, und schließen Sie dann die Konsole "Zertifikatvorlagen".
  6. Klicken Sie in der Konsole der Zertifizierungsstelle mit der rechten Maustaste auf Vorlagen>für die neue>Zertifikatvorlage, die Sie ausstellen möchten.
  7. Wählen Sie die vorlage aus, die Sie geändert haben, und wählen Sie dann OK aus.