Compartir a través de

Solución de problemas de implementación de certificados PKCS en Intune

  • Artículo

En este artículo se proporcionan instrucciones para solucionar problemas comunes al implementar certificados de estándares de criptografía de clave pública (PKCS) en Microsoft Intune. Antes de solucionar problemas, asegúrese de que ha completado las siguientes tareas, como se explica en Configuración y uso de certificados PKCS con Intune:

  • Revise los requisitos para usar perfiles de certificado PKCS.
  • Exporte el certificado raíz de la entidad de certificación (CA) de empresa.
  • Configure plantillas de certificado en la entidad de certificación.
  • Instale y configure Intune Certificate Connector.
  • Cree e implemente un perfil de certificado de confianza para implementar el certificado raíz.
  • Cree e implemente un perfil de certificado PKCS.

El origen más común de problemas para los perfiles de certificado PKCS ha sido con la configuración del perfil de certificado PKCS. Revise la configuración de perfiles y busque errores tipográficos en nombres de servidor o nombres de dominio completos (FQDN) y confirme que el nombre de la entidad de certificación y el nombre de la entidad de certificación son correctos.

  • Entidad de certificación: el FQDN interno del equipo de la entidad de certificación. Por ejemplo, server1.domain.local.
  • Nombre de entidad de certificación: el nombre de la entidad de certificación tal como se muestra en la entidad de certificación MMC. Busque en Entidad de certificación (local)

Puede usar el programa de línea de comandos certutil en la ENTIDAD de certificación para confirmar el nombre correcto de la entidad de certificación y el nombre de la entidad de certificación.

Introducción a la comunicación de PKCS

En el gráfico siguiente se proporciona información general básica sobre el proceso de implementación de certificados PKCS en Intune.

Captura de pantalla del flujo de perfil de certificado PKCS.

  1. Un administrador crea un perfil de certificado PKCS en Intune.
  2. El servicio intune solicita que Intune Certificate Connector local cree un nuevo certificado para el usuario.
  3. Intune Certificate Connector envía un blob PFX y una solicitud a la entidad de certificación de Microsoft.
  4. La entidad de certificación emite y envía el certificado de usuario PFX de vuelta al conector de certificados de Intune.
  5. Intune Certificate Connector carga el certificado de usuario PFX cifrado en Intune.
  6. Intune descifra el certificado de usuario PFX y vuelve a cifrar el dispositivo mediante el certificado de Administración de dispositivos. A continuación, Intune envía el certificado de usuario PFX al dispositivo.
  7. El dispositivo notifica el estado del certificado a Intune.

Archivos de registro

Para identificar problemas para el flujo de trabajo de comunicación y aprovisionamiento de certificados, revise los archivos de registro de la infraestructura del servidor y de los dispositivos. Las secciones posteriores para solucionar problemas de perfiles de certificado PKCS hacen referencia a los archivos de registro a los que se hace referencia en esta sección.

Los registros de dispositivos dependen de la plataforma del dispositivo:

Registros de la infraestructura local

La infraestructura local que admite el uso de perfiles de certificado PKCS para implementaciones de certificados incluye Microsoft Intune Certificate Connector y la entidad de certificación.

Los archivos de registro de estos roles incluyen Windows Visor de eventos, consolas de certificados y varios archivos de registro específicos de Intune Certificate Connector u otras operaciones y roles que forman parte de la infraestructura local.

  • NDESConnector_date_time.svclog:

    Este registro muestra la comunicación de Microsoft Intune Certificate Connector con el servicio en la nube de Intune. Puede usar la herramienta Visor de seguimiento de servicio para ver este archivo de registro.

    Clave del Registro relacionada: HKLM\SW\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

    Ubicación: en el servidor que hospeda Intune Certificate Connector en %program_files%\Microsoft intune\ndesconnectorsvc\logs

  • Registro de aplicaciones de Windows:

    Ubicación: en el servidor que hospeda Intune Certificate Connector: ejecute eventvwr.msc para abrir Windows Visor de eventos

Registros para dispositivos Android

En el caso de los dispositivos que ejecutan Android, use el archivo de registro de aplicaciones Portal de empresa Android, OMADM.log. Antes de recopilar y revisar los registros, habilite asegurarse de que el registro detallado está habilitado y, a continuación, reproduzca el problema.

Para recopilar los registros OMADM.logs de un dispositivo, consulte Carga y correo electrónico de registros mediante un cable USB.

También puede cargar y enviar registros de correo electrónico para admitir.

Registros para dispositivos iOS e iPadOS

En el caso de los dispositivos que ejecutan iOS/iPadOS, se usan registros de depuración y Xcode que se ejecutan en un equipo Mac:

  1. Conecte el dispositivo iOS/iPadOS a Mac y, a continuación, vaya a Aplicaciones>Utilidades para abrir la aplicación consola.

  2. En Acción, seleccione Incluir mensajes de información e Incluir mensajes de depuración.

    Captura de pantalla que muestra las opciones Incluir mensajes de información e Incluir mensajes de depuración están seleccionadas.

  3. Reproduzca el problema y guarde los registros en un archivo de texto:

    1. Seleccione Editar>seleccionar Todo para seleccionar todos los mensajes en la pantalla actual y, a continuación, seleccione Editar>copia para copiar los mensajes en el Portapapeles.
    2. Abra la aplicación TextEdit, pegue los registros copiados en un nuevo archivo de texto y guarde el archivo.

El registro de Portal de empresa para dispositivos iOS e iPadOS no contiene información sobre los perfiles de certificado PKCS.

Registros para dispositivos Windows

En el caso de los dispositivos que ejecutan Windows, use los registros de eventos de Windows para diagnosticar problemas de inscripción o administración de dispositivos para los dispositivos que administra con Intune.

En el dispositivo, abra Visor de eventos> Registros>de aplicaciones y servicios de Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider

Captura de pantalla de los registros de eventos de Windows.

Exclusiones del antivirus

Considere la posibilidad de agregar exclusiones de antivirus en servidores que hospedan Intune Certificate Connector cuando:

  • Las solicitudes de certificado llegan al servidor o al conector de certificados de Intune, pero no se procesan correctamente.
  • Los certificados se emiten lentamente

A continuación se muestran ejemplos de ubicaciones que puede excluir:

  • %program_files%\Microsoft Intune\PfxRequest
  • %program_files%\Microsoft Intune\CertificateRequestStatus
  • %program_files%\Microsoft Intune\CertificateRevocationStatus

Errores comunes

Los siguientes errores comunes se tratan en una sección siguiente:

El servidor RPC no está disponible 0x800706ba

Durante la implementación de PFX, el certificado raíz de confianza aparece en el dispositivo, pero el certificado PFX no aparece en el dispositivo. El archivo de registro NDESConnector_date_time.svclog contiene la cadena El servidor RPC no está disponible. 0x800706ba, como se muestra en la primera línea del ejemplo siguiente:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x800706BA): CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
IssuePfx -Generic Exception: System.ArgumentException: CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094800): The requested certificate template is not supported by this CA. (Exception from HRESULT: 0x80094800)

Causa 1: configuración incorrecta de la ENTIDAD de certificación en Intune

Este problema puede producirse cuando el perfil de certificado PKCS especifica el servidor incorrecto o contiene errores ortográficos para el nombre o el FQDN de la CA. La ENTIDAD de certificación se especifica en las siguientes propiedades del perfil:

  • Entidad de certificación
  • Nombre de la entidad de certificación

Solución:

Revise la siguiente configuración y corrija si son incorrectas:

  • La propiedad Entidad de certificación muestra el FQDN interno del servidor de CA.
  • La propiedad Nombre de la entidad de certificación muestra el nombre de la ENTIDAD de certificación.

Causa 2: la ENTIDAD de certificación no admite la renovación de certificados para las solicitudes firmadas por certificados de CA anteriores

Si el FQDN de CA y el nombre son correctos en el perfil de certificado PKCS, revise el registro de aplicación de Windows que se encuentra en el servidor de la entidad de certificación. Busque un identificador de evento 128 similar al ejemplo siguiente:

Log Name: Application:
Source: Microsoft-Windows-CertificationAuthority
Event ID: 128
Level: Warning
Details:
An Authority Key Identifier was passed as part of the certificate request 2268. This feature has not been enabled. To enable specifying a CA key for certificate signing, run: "certutil -setreg ca\UseDefinedCACertInRequest 1" and then restart the service.

Cuando se renueva el certificado de entidad de certificación, debe firmar el certificado de firma de respuesta del Protocolo de estado de certificado en línea (OCSP). La firma permite que el certificado de firma de respuesta de OCSP valide otros certificados comprobando su estado de revocación. Esta firma no está habilitada de forma predeterminada.

Solución:

Forzar manualmente la firma del certificado:

  1. En el servidor de CA, abra un símbolo del sistema con privilegios elevados y ejecute el siguiente comando: certutil -setreg ca\UseDefinedCACertInRequest 1
  2. Reinicie el servicio Servicios de certificados.

Una vez reiniciado el servicio Servicios de certificados, los dispositivos pueden recibir certificados.

No se puede encontrar un servidor de directivas de inscripción 0x80094015

No se puede encontrar un servidor de directivas de inscripción ni 0x80094015, como se muestra en el ejemplo siguiente:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094015): An enrollment policy server cannot be located. (Exception from HRESULT: 0x80094015)

Causa: nombre del servidor de directivas de inscripción de certificados

Este problema se produce si el equipo que hospeda Intune Certificate Connector no puede encontrar un servidor de directivas de inscripción de certificados.

Solución:

Configure manualmente el nombre del servidor de directivas de inscripción de certificados en el equipo que hospeda Intune Certificate Connector. Para configurar el nombre, use el cmdlet Add-CertificateEnrollmentPolicyServer de PowerShell.

El envío está pendiente

Después de implementar un perfil de certificado PKCS en dispositivos móviles, los certificados no se adquieren y el registro de NDESConnector_date_time.svclog contiene la cadena El envío está pendiente, como se muestra en el ejemplo siguiente:

IssuePfx - The submission is pending: Taken Under Submission
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission is pending

Además, en el servidor de certificación, puede ver la solicitud PFX en la carpeta Solicitudes pendientes :

Captura de pantalla de la carpeta solicitudes pendientes de entidad de certificación.

Causa: configuración incorrecta para el control de solicitudes

Este problema se produce si la opción Establecer el estado de la solicitud en pendiente. El administrador debe emitir explícitamente el certificado en el cuadro de diálogo Propiedades del módulo de>> directivas de la entidad de certificación.

Captura de pantalla de las propiedades del módulo de directivas.

Solución:

Edite las propiedades del módulo de directivas para establecer: siga la configuración de la plantilla de certificado, si procede. De lo contrario, emita automáticamente el certificado.

El parámetro es incorrecto 0x80070057

Con Intune Certificate Connector instalado y configurado correctamente, los dispositivos no reciben certificados PKCS y el registro de NDESConnector_date_time.svclog contiene la cadena El parámetro es incorrecto. 0x80070057, como se muestra en el ejemplo siguiente:

CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

Causa: configuración del perfil PKCS

Este problema se produce si el perfil PKCS de Intune no está configurado correctamente. A continuación se muestran errores de configuración comunes:

  • El perfil incluye un nombre incorrecto para la ENTIDAD de certificación.
  • El nombre alternativo del firmante (SAN) está configurado para la dirección de correo electrónico, pero el usuario de destino aún no tiene una dirección de correo electrónico válida. Esta combinación da como resultado un valor NULL para la SAN, que no es válido.

Solución:

Compruebe las siguientes configuraciones para el perfil PKCS y espere a que la directiva se actualice en el dispositivo:

  • Configurado con el nombre de la entidad de certificación
  • Asignado al grupo de usuarios correcto
  • Los usuarios del grupo tienen direcciones de correo electrónico válidas

Para obtener más información, consulte Configuración y uso de certificados PKCS con Intune.

Denegado por módulo de directivas

Cuando los dispositivos reciben el certificado raíz de confianza, pero no reciben el certificado PFX y el registro de NDESConnector_date_time.svclog contiene la cadena Error de envío: Denegado por módulo de directivas, como se muestra en el ejemplo siguiente:

IssuePfx - The submission failed: Denied by Policy Module
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission failed
   at Microsoft.Management.Services.NdesConnector.MicrosoftCA.GetCertificate(PfxRequestDataStorage pfxRequestData, String containerName, String& certificate, String& password)
Issuing Pfx certificate for Device ID <Device ID> failed

Causa: permisos de cuenta de equipo para la plantilla de certificado

Este problema se produce cuando la cuenta de equipo del servidor que hospeda Intune Certificate Connector no tiene permisos para la plantilla de certificado.

Solución:

  1. Inicie sesión en su entidad de certificación empresarial con una cuenta que tenga privilegios administrativos.
  2. Abra la consola de entidad de certificación, haga clic con el botón derecho en Plantillas de certificado y seleccione Administrar.
  3. Busque la plantilla de certificado y abra el cuadro de diálogo Propiedades de la plantilla.
  4. Seleccione la pestaña Seguridad y agregue la cuenta de equipo para el servidor donde instaló Microsoft Intune Certificate Connector. Conceda a esa cuenta permisos de lectura e inscripción .
  5. Seleccione Aplicar>aceptar para guardar la plantilla de certificado y, a continuación, cierre la consola Plantillas de certificado.
  6. En la consola de entidad de certificación, haga clic con el botón derecho en Plantillas>de certificado Nuevas>plantillas de certificado para emitir.
  7. Seleccione la plantilla que modificó y, a continuación, haga clic en Aceptar.

Para obtener más información, consulte Configuración de plantillas de certificado en la entidad de certificación.

Perfil de certificado bloqueado como Pendiente

En el Centro de administración de Microsoft Intune, los perfiles de certificado PKCS no se implementan con un estado pendiente. No hay errores obvios en el archivo de registro NDESConnector_date_time.svclog. Dado que la causa de este problema no se identifica claramente en los registros, siga estos pasos.

Causa 1: archivos de solicitud no procesados

Revise los archivos de solicitud para ver si hay errores que indican por qué no se pudieron procesar.

  1. En el servidor que hospeda Intune Certificate Connector, use Explorador de archivos para ir a %programfiles%\Microsoft Intune\PfxRequest.

  2. Revise los archivos de las carpetas Error y Procesamiento con su editor de texto favorito.

    Captura de pantalla de la carpeta PfxRequest.

  3. En estos archivos, busque entradas que indiquen errores o sugieran problemas. Con una búsqueda basada en web, busque los mensajes de error para obtener pistas sobre por qué la solicitud no se pudo procesar y para las soluciones a esos problemas.

Causa 2: configuración incorrecta del perfil de certificado PKCS

Cuando no encuentra archivos de solicitud en las carpetas Failed, Processing o Succeed , la causa podría ser que el certificado incorrecto esté asociado con el perfil de certificado PKCS. Por ejemplo, se asocia una ENTIDAD de certificación subordinada al perfil o se usa el certificado raíz incorrecto.

Solución:

  1. Revise el perfil de certificado de confianza para asegurarse de que ha implementado el certificado raíz de la entidad de certificación empresarial en los dispositivos.
  2. Revise el perfil de certificado PKCS para asegurarse de que hace referencia a la ca correcta, el tipo de certificado y el perfil de certificado de confianza que implementa el certificado raíz en los dispositivos.

Para obtener más información, consulte Uso de certificados para la autenticación en Microsoft Intune.

Error -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

Los certificados PKCS no se pueden implementar y la consola de certificados de la CA emisora muestra un mensaje con la cadena -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED, como se muestra en el ejemplo siguiente:

Active Directory Certificate Services denied request abc123 because The Email name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). The request was for CN=" Common Name".  Additional information: Denied by Policy Module".

Causa: "Suministro en la solicitud" está mal configurado

Este problema se produce si la opción Proporcionar en la solicitud no está habilitada en la pestaña Nombre del firmante del cuadro de diálogo Propiedades de la plantilla de certificado.

Captura de pantalla de las propiedades NDES donde está resaltada la opción Proporcionar en la solicitud.

Solución:

Edite la plantilla para resolver el problema de configuración:

  1. Inicie sesión en su entidad de certificación empresarial con una cuenta que tenga privilegios administrativos.
  2. Abra la consola de entidad de certificación, haga clic con el botón derecho en Plantillas de certificado y seleccione Administrar.
  3. Abra el cuadro de diálogo Propiedades de la plantilla de certificado.
  4. En la pestaña Nombre del firmante, seleccione Proporcionar en la solicitud.
  5. Seleccione Aceptar para guardar la plantilla de certificado y, a continuación, cierre la consola Plantillas de certificado.
  6. En la consola de entidad de certificación y haga clic con el botón derecho en Plantillas>nuevas>plantilla de certificado para emitir.
  7. Seleccione la plantilla que modificó y, a continuación, seleccione Aceptar.