Compartir a través de

Solución de problemas del módulo de directivas NDES en Microsoft Intune

  • Artículo

En este artículo se proporcionan instrucciones para ayudarle a validar y solucionar problemas del módulo de directivas del Servicio de inscripción de dispositivos de red (NDES) que se instala con Microsoft Intune Certificate Connector. Cuando NDES recibe una solicitud de un certificado, reenvía la solicitud al módulo de directivas, que valida la solicitud como válida para el dispositivo. Después de la validación, NDES se pone en contacto con la entidad de certificación (CA) para solicitar el certificado en nombre del dispositivo.

Este artículo se aplica tanto al paso 3 como al paso 4 del flujo de trabajo de comunicación SCEP.

Comunicación de NDES con el módulo de directivas

Después de recibir la solicitud de certificado de un dispositivo, NDES valida esa solicitud con Intune a través del módulo de directivas que se instala con Microsoft Intune Certificate Connector. Estas entradas hacen referencia al punto de registro de certificados.

Entradas de registro que indican que se ha realizado correctamente:

Para confirmar que la solicitud de validación se envía al módulo, busque una entrada similar a los ejemplos siguientes en los registros del servidor NDES:

  • Registros de IIS:

    fe80::f53d:89b8:c3e8:5fec%13 POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 - 
fe80::f53d:89b8:c3e8:5fec%13 NDES_Plugin - 201 0 0 341 875

  • Registro de NDESPlugin:

    Calling VerifyRequest ...  
Sending request to certificate registration point.

    En el ejemplo siguiente se indica una validación correcta de la solicitud de desafío de dispositivos y que NDES ahora puede ponerse en contacto con la ENTIDAD de certificación:

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

Cuando los indicadores de éxito no están presentes:

Si no encuentra estas entradas, empiece por revisar las instrucciones de solución de problemas para la comunicación del servidor NDES con el dispositivo.

Si la información de ese artículo no le ayuda a resolver el problema, las siguientes son entradas adicionales que pueden indicar problemas.

NDESPlugin.log contiene un error 12175

Cuando el registro contiene un error 12175 similar al siguiente, puede haber un problema con el certificado SSL:

WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID
Failed to send http request /CertificateRegistrationSvc/Certificate/VerifyRequest. Error 12175

Los exploradores y exploradores modernos de los dispositivos móviles omiten el nombre común en un certificado SSL si hay nombres alternativos del firmante presentes.

Solución: emita el certificado SSL del servidor web con los siguientes atributos para Nombre común y Nombre alternativo del firmante y, a continuación, vincule al puerto 443 en IIS:

  • Nombre del firmante
    CN = nombre de servidor externo
  • Nombre alternativo del firmante
    Nombre = nombre del servidor externo
    Nombre DNS = nombre interno del servidor

NDESPlugin.log contiene un error 403: Prohibido: Acceso denegado"

Cuando los registros siguientes contienen un error 403 similar al siguiente, el certificado de cliente podría no ser de confianza o no es válido:

NDESPlugin.log:

Sending request to certificate registration point.
Verify challenge returns <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>403 - Forbidden: Access is denied.</title>

Registro de IIS:

POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 -<IP_address>
NDES_Plugin - 403 16 2148204809 453

Este problema se produce si hay certificados de ENTIDAD de certificación intermedios en el almacén de certificados de entidades de certificación raíz de confianza del servidor NDES.

Si un certificado tiene los mismos valores emitidos y emitidos por , es un certificado raíz. De lo contrario, es un certificado intermedio.

Solución: para corregir el problema, identifique y quite los certificados de entidad de certificación intermedios del almacén de certificados de entidades de certificación raíz de confianza.

NDESPlugin.log indica que el desafío devuelve false

Cuando el resultado del desafío devuelva false, compruebe certificateRegistrationPoint.svclog para ver si hay errores. Por ejemplo, podría ver un error de "No se pudo recuperar el certificado de firma" similar a la entrada siguiente:

Signing certificate could not be retrieved. System.Security.Cryptography.CryptographicException: m_safeCertContext is an invalid handle. at System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid() at System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString() at Microsoft.ConfigurationManager.CertRegPoint.CRPCertificate.RetrieveSigningCert(String certThumbprint

Solución: en el servidor donde está instalado el conector, abra el Editor del Registro, busque la clave del HKLM\SOFTWARE\Microsoft\MicrosoftIntune\NDESConnector Registro y compruebe si existe el valor SigningCertificate.

Si este valor no existe, reinicie el servicio conector de Intune en services.msc y compruebe si el valor aparece en el Registro. Si el valor sigue faltando, suele deberse a problemas de conectividad de red entre el servidor que NDES y el servicio intune.

NDES pasa la solicitud para emitir el certificado

Después de una validación correcta por el punto de registro de certificados (el módulo de directivas), NDES pasa la solicitud de certificado a la ENTIDAD de certificación en nombre del dispositivo.

Entradas de registro que indican que se ha realizado correctamente:

  • Registro de NDESPlugin:

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • Registros de IIS:

    fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe ... 80 - 
fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 2713 1296

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

Cuando los indicadores de éxito no están presentes:

Si no ve las entradas que indican que se ha realizado correctamente, complete estos pasos:

  1. Busque problemas que se registran en CertificateRegistrationPoint.svclog cuando el punto de registro de certificados comprueba el desafío. Busque las entradas entre las líneas siguientes:

    • VerifyRequest Started( Iniciado por VerifyRequest).
    • VerifyRequest Finished with status False

  2. Abra MMC de entidad de certificación en la ENTIDAD de certificación y seleccione Solicitudes con error para buscar errores que ayuden a identificar un problema. A continuación se muestra una imagen de ejemplo:

    Captura de pantalla de una solicitud con error de ejemplo.

  3. Revise el registro de eventos de la aplicación en la ENTIDAD de certificación para ver si hay errores. Normalmente, puede ver errores que coincidan con lo que ve en las solicitudes con error del paso anterior. A continuación se muestra una imagen de ejemplo:

    Captura de pantalla que muestra los detalles del registro de la aplicación.

Pasos siguientes

Si el módulo de directivas NDES valida la solicitud y la solicitud se reenvía a la entidad de certificación, el siguiente paso es revisar la entrega de certificados al dispositivo.