Partager via

Résolution des problèmes de déploiement de certificats PKCS dans Intune

  • Article

Cet article fournit des conseils de dépannage pour plusieurs problèmes courants lors du déploiement de certificats PKCS (Public Key Cryptography Standards) dans Microsoft Intune. Avant de résoudre les problèmes, vérifiez que vous avez effectué les tâches suivantes, comme expliqué dans Configurer et utiliser des certificats PKCS avec Intune :

  • Passez en revue les conditions requises pour l’utilisation des profils de certificat PKCS.
  • Exportez le certificat racine à partir de l’autorité de certification d’entreprise.
  • Configurez des modèles de certificat sur l’autorité de certification.
  • Installez et configurez Intune Certificate Connector.
  • Créez et déployez un profil de certificat approuvé pour déployer le certificat racine.
  • Créez et déployez un profil de certificat PKCS.

La source de problèmes les plus courantes pour les profils de certificat PKCS a été la configuration du profil de certificat PKCS. Passez en revue la configuration des profils et recherchez les fautes de frappe dans les noms de serveur ou les noms de domaine complets (FQDN) et vérifiez que l’autorité de certification et le nom de l’autorité de certification sont corrects.

  • Autorité de certification : nom de domaine complet interne de l’ordinateur de l’autorité de certification. Par exemple, server1.domain.local.
  • Nom de l’autorité de certification : nom de l’autorité de certification, tel qu’affiché dans la console MMC de l’autorité de certification. Regardez sous Autorité de certification (locale)

Vous pouvez utiliser le programme de ligne de commande certutil sur l’autorité de certification pour confirmer le nom correct de l’autorité de certification et du nom de l’autorité de certification.

Vue d’ensemble de la communication PKCS

Le graphique suivant fournit une vue d’ensemble de base du processus de déploiement de certificats PKCS dans Intune.

Capture d’écran du flux de profil de certificat PKCS.

  1. Un administrateur crée un profil de certificat PKCS dans Intune.
  2. Le service Intune demande que le connecteur de certificats Intune local crée un certificat pour l’utilisateur.
  3. Intune Certificate Connector envoie un objet blob PFX et demande à votre autorité de certification Microsoft.
  4. L’autorité de certification émet et renvoie le certificat utilisateur PFX au connecteur de certificats Intune.
  5. Intune Certificate Connector charge le certificat utilisateur PFX chiffré dans Intune.
  6. Intune déchiffre le certificat utilisateur PFX et rechiffre l’appareil à l’aide du certificat Gestion des appareils. Intune envoie ensuite le certificat utilisateur PFX à l’appareil.
  7. L’appareil signale l’état du certificat à Intune.

Fichiers journaux

Pour identifier les problèmes liés au flux de travail de communication et d’approvisionnement de certificats, passez en revue les fichiers journaux à partir de l’infrastructure serveur et des appareils. Les sections ultérieures pour la résolution des problèmes liés aux profils de certificat PKCS font référence aux fichiers journaux référencés dans cette section.

Les journaux d’activité des appareils dépendent de la plateforme d’appareils :

Journaux d’activité pour l’infrastructure locale

L’infrastructure locale qui prend en charge l’utilisation de profils de certificat PKCS pour les déploiements de certificats inclut Microsoft Intune Certificate Connector et l’autorité de certification.

Les fichiers journaux de ces rôles incluent l’Observateur d’événements Windows, les consoles de certificats et différents fichiers journaux spécifiques à Intune Certificate Connector, ou d’autres rôles et opérations qui font partie de l’infrastructure locale.

  • NDESConnector_date_time.svclog :

    Ce journal affiche la communication de Microsoft Intune Certificate Connector vers le service cloud Intune. Vous pouvez utiliser l’outil Visionneuse de trace de service pour afficher ce fichier journal.

    Clé de Registre associée : HKLM\SW\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

    Emplacement : sur le serveur qui héberge Intune Certificate Connector à %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs

  • Journal des applications Windows :

    Emplacement : sur le serveur qui héberge Intune Certificate Connector : Exécuter eventvwr.msc pour ouvrir l’Observateur d’événements Windows

Journaux des appareils Android

Pour les appareils qui exécutent Android, utilisez le fichier journal de l’application Portail d’entreprise Android, OMADM.log. Avant de collecter et de passer en revue les journaux, activez l’activation de la journalisation détaillée, puis reproduisez le problème.

Pour collecter les journaux OMADM.logs à partir d’un appareil, consultez Charger et envoyer des journaux d’e-mail à l’aide d’un câble USB.

Vous pouvez également charger et envoyer des journaux d’e-mail pour prendre en charge.

Journaux d’activité pour les appareils iOS et iPadOS

Pour les appareils qui exécutent iOS/iPadOS, vous utilisez des journaux de débogage et Xcode qui s’exécutent sur un ordinateur Mac :

  1. Connectez l’appareil iOS/iPadOS à Mac, puis accédez aux utilitaires d’applications>pour ouvrir l’application console.

  2. Sous Action, sélectionnez Inclure les messages d’informations et Inclure les messages de débogage.

    Capture d’écran montrant les options Inclure les messages d’informations et Inclure les messages de débogage sont sélectionnées.

  3. Reproduire le problème, puis enregistrer les journaux dans un fichier texte :

    1. Sélectionnez Modifier>tout pour sélectionner tous les messages sur l’écran actuel, puis sélectionnez Modifier> la copie pour copier les messages dans le Presse-papiers.
    2. Ouvrez l’application TextEdit, collez les journaux copiés dans un nouveau fichier texte, puis enregistrez le fichier.

Le journal Portail d’entreprise pour les appareils iOS et iPadOS ne contient pas d’informations sur les profils de certificat PKCS.

Journaux des appareils Windows

Pour les appareils qui exécutent Windows, utilisez les journaux des événements Windows pour diagnostiquer les problèmes d’inscription ou de gestion des appareils pour les appareils que vous gérez avec Intune.

Sur l’appareil, ouvrez les journaux>des applications et services de l’observateur>d’événements Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider

Capture d’écran des journaux des événements Windows.

Exclusions d’antivirus

Envisagez d’ajouter des exclusions antivirus sur des serveurs qui hébergent Intune Certificate Connector quand :

  • Les demandes de certificat atteignent le serveur ou Intune Certificate Connector, mais ne sont pas traitées avec succès
  • Les certificats sont émis lentement

Voici des exemples d’emplacements que vous pouvez exclure :

  • %program_files%\Microsoft Intune\PfxRequest
  • %program_files%\Microsoft Intune\CertificateRequestStatus
  • %program_files%\Microsoft Intune\CertificateRevocationStatus

Erreurs courantes

Les erreurs courantes suivantes sont chacune traitées dans une section suivante :

Le serveur RPC n’est pas disponible 0x800706ba

Pendant le déploiement PFX, le certificat racine approuvé s’affiche sur l’appareil, mais le certificat PFX n’apparaît pas sur l’appareil. Le fichier journal NDESConnector_date_time.svclog contient la chaîne Que le serveur RPC n’est pas disponible. 0x800706ba, comme indiqué dans la première ligne de l’exemple suivant :

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x800706BA): CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
IssuePfx -Generic Exception: System.ArgumentException: CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094800): The requested certificate template is not supported by this CA. (Exception from HRESULT: 0x80094800)

Cause 1 - Configuration incorrecte de l’autorité de certification dans Intune

Ce problème peut se produire lorsque le profil de certificat PKCS spécifie le serveur incorrect ou contient des erreurs d’orthographe pour le nom ou le nom de domaine complet de l’autorité de certification. L’autorité de certification est spécifiée dans les propriétés suivantes du profil :

  • Autorité de certification
  • Nom de l’autorité de certification

Solution :

Passez en revue les paramètres suivants et corrigez s’ils sont incorrects :

  • La propriété autorité de certification affiche le nom de domaine complet interne de votre serveur d’autorité de certification.
  • La propriété nom de l’autorité de certification affiche le nom de votre autorité de certification.

Cause 2 : l’autorité de certification ne prend pas en charge le renouvellement des certificats pour les demandes signées par des certificats d’autorité de certification précédents

Si le nom de domaine complet et le nom de l’autorité de certification sont corrects dans le profil de certificat PKCS, passez en revue le journal des applications Windows qui se trouve sur le serveur d’autorité de certification. Recherchez un ID d’événement 128 semblable à l’exemple suivant :

Log Name: Application:
Source: Microsoft-Windows-CertificationAuthority
Event ID: 128
Level: Warning
Details:
An Authority Key Identifier was passed as part of the certificate request 2268. This feature has not been enabled. To enable specifying a CA key for certificate signing, run: "certutil -setreg ca\UseDefinedCACertInRequest 1" and then restart the service.

Lorsque le certificat d’autorité de certification est renouvelé, il doit signer le certificat de signature de réponse OCSP (Online Certificate Status Protocol). La signature permet au certificat de signature de réponse OCSP de valider d’autres certificats en vérifiant leur état de révocation. Cette signature n’est pas activée par défaut.

Solution :

Forcer manuellement la signature du certificat :

  1. Sur le serveur d’autorité de certification, ouvrez une invite de commandes avec élévation de privilèges et exécutez la commande suivante : certutil -setreg ca\UseDefinedCACertInRequest 1
  2. Redémarrez le service Services de certificats.

Une fois le service Services de certificats redémarré, les appareils peuvent recevoir des certificats.

Un serveur de stratégie d’inscription ne peut pas se trouver 0x80094015

Un serveur de stratégie d’inscription ne peut pas se trouver et 0x80094015, comme indiqué dans l’exemple suivant :

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094015): An enrollment policy server cannot be located. (Exception from HRESULT: 0x80094015)

Cause - Nom du serveur de stratégie d’inscription de certificat

Ce problème se produit si l’ordinateur qui héberge Intune Certificate Connector ne peut pas localiser un serveur de stratégie d’inscription de certificat.

Solution :

Configurez manuellement le nom du serveur de stratégie d’inscription de certificat sur l’ordinateur qui héberge Intune Certificate Connector. Pour configurer le nom, utilisez l’applet de commande PowerShell Add-CertificateEnrollmentPolicyServer .

La soumission est en attente

Une fois que vous avez déployé un profil de certificat PKCS sur des appareils mobiles, les certificats ne sont pas acquis et le journal NDESConnector_date_time.svclog contient la chaîne En attente de la soumission, comme indiqué dans l’exemple suivant :

IssuePfx - The submission is pending: Taken Under Submission
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission is pending

En outre, sur le serveur d’autorité de certification, vous pouvez voir la requête PFX dans le dossier Demandes en attente :

Capture d’écran du dossier demandes en attente de l’autorité de certification.

Cause : configuration incorrecte pour la gestion des demandes

Ce problème se produit si l’option Définir l’état de la demande sur en attente. L’administrateur doit émettre explicitement le certificat dans la boîte de dialogue Propriétés>du module>de stratégie de stratégie d’autorité de certification.

Capture d’écran des propriétés du module de stratégie.

Solution :

Modifiez les propriétés du module de stratégie à définir : suivez les paramètres du modèle de certificat, le cas échéant. Sinon, émettez automatiquement le certificat.

Le paramètre est incorrect 0x80070057

Une fois que Intune Certificate Connector est installé et configuré correctement, les appareils ne reçoivent pas de certificats PKCS et le journal NDESConnector_date_time.svclog contient la chaîne Le paramètre est incorrect. 0x80070057, comme indiqué dans l’exemple suivant :

CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

Cause : configuration du profil PKCS

Ce problème se produit si le profil PKCS dans Intune est mal configuré. Voici les configurations incorrectes courantes :

  • Le profil inclut un nom incorrect pour l’autorité de certification.
  • L’autre nom de l’objet (SAN) est configuré pour l’adresse e-mail, mais l’utilisateur ciblé n’a pas encore d’adresse e-mail valide. Cette combinaison entraîne une valeur Null pour le san, qui n’est pas valide.

Solution :

Vérifiez les configurations suivantes pour le profil PKCS, puis attendez que la stratégie s’actualise sur l’appareil :

  • Configuré avec le nom de l’autorité de certification
  • Affecté au groupe d’utilisateurs approprié
  • Les utilisateurs du groupe ont des adresses e-mail valides

Pour plus d’informations, consultez Configurer et utiliser des certificats PKCS avec Intune.

Refusé par le module de stratégie

Lorsque les appareils reçoivent le certificat racine approuvé, mais ne reçoivent pas le certificat PFX et que le journal NDESConnector_date_time.svclog contient la chaîne Échec de la soumission : Refusé par le module de stratégie, comme indiqué dans l’exemple suivant :

IssuePfx - The submission failed: Denied by Policy Module
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission failed
   at Microsoft.Management.Services.NdesConnector.MicrosoftCA.GetCertificate(PfxRequestDataStorage pfxRequestData, String containerName, String& certificate, String& password)
Issuing Pfx certificate for Device ID <Device ID> failed

Cause : autorisations de compte d’ordinateur sur le modèle de certificat

Ce problème se produit lorsque le compte d’ordinateur du serveur qui héberge Intune Certificate Connector n’a pas d’autorisations sur le modèle de certificat.

Solution :

  1. Connectez-vous à votre autorité de certification d’entreprise avec un compte disposant de privilèges d’administration.
  2. Ouvrez la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificat, puis sélectionnez Gérer.
  3. Recherchez le modèle de certificat et ouvrez la boîte de dialogue Propriétés du modèle.
  4. Sélectionnez l’onglet Sécurité et ajoutez le compte d’ordinateur pour le serveur sur lequel vous avez installé Microsoft Intune Certificate Connector. Accordez à ce compte des autorisations Lecture et Inscription .
  5. Sélectionnez Appliquer>OK pour enregistrer le modèle de certificat, puis fermez la console Modèles de certificats.
  6. Dans la console Autorité de certification, cliquez avec le bouton droit sur Nouveau>modèle de certificat pour émettre.>
  7. Sélectionnez le modèle que vous avez modifié, puis cliquez sur OK.

Pour plus d’informations, consultez Configurer des modèles de certificat sur l’autorité de certification.

Profil de certificat bloqué en attente

Dans le Centre d’administration Microsoft Intune, les profils de certificat PKCS ne parviennent pas à être déployés avec l’état En attente. Il n’existe aucune erreur évidente dans le fichier journal NDESConnector_date_time.svclog. Étant donné que la cause de ce problème n’est pas identifiée clairement dans les journaux, suivez les causes suivantes.

Cause 1 - Fichiers de requête non traités

Passez en revue les fichiers de demande pour connaître les erreurs qui indiquent pourquoi ils n’ont pas pu être traités.

  1. Sur le serveur qui héberge Intune Certificate Connector, utilisez Explorateur de fichiers pour accéder à %programfiles%\Microsoft Intune\PfxRequest.

  2. Passez en revue les fichiers dans les dossiers Échec et Traitement, à l’aide de votre éditeur de texte favori.

    Capture d’écran du dossier PfxRequest.

  3. Dans ces fichiers, recherchez des entrées qui indiquent des erreurs ou suggèrent des problèmes. À l’aide d’une recherche basée sur le web, recherchez les messages d’erreur pour savoir pourquoi la demande n’a pas réussi à traiter et pour trouver des solutions à ces problèmes.

Cause 2 - Configuration incorrecte pour le profil de certificat PKCS

Lorsque vous ne trouvez pas de fichiers de requête dans les dossiers Échec, Traitement ou Réussite , la cause peut être que le certificat incorrect est associé au profil de certificat PKCS. Par exemple, une autorité de certification subordonnée est associée au profil, ou le certificat racine incorrect est utilisé.

Solution :

  1. Passez en revue votre profil de certificat approuvé pour vous assurer que vous avez déployé le certificat racine de votre autorité de certification d’entreprise sur des appareils.
  2. Passez en revue votre profil de certificat PKCS pour vous assurer qu’il fait référence à l’autorité de certification, au type de certificat et au profil de certificat approuvé qui déploie le certificat racine sur les appareils.

Pour plus d’informations, consultez Utiliser des certificats pour l’authentification dans Microsoft Intune.

Erreur -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

Les certificats PKCS ne parviennent pas à être déployés et la console de certificat sur l’autorité de certification émettrice affiche un message avec la chaîne -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED, comme indiqué dans l’exemple suivant :

Active Directory Certificate Services denied request abc123 because The Email name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). The request was for CN=" Common Name".  Additional information: Denied by Policy Module".

Cause : « Fournir dans la demande » est mal configuré

Ce problème se produit si l’option Fournir dans la demande n’est pas activée sous l’onglet Nom de l’objet dans la boîte de dialogue Propriétés du modèle de certificat.

Capture d’écran des propriétés NDES où l’option Fournir dans la demande est mise en surbrillance.

Solution :

Modifiez le modèle pour résoudre le problème de configuration :

  1. Connectez-vous à votre autorité de certification d’entreprise avec un compte disposant de privilèges d’administration.
  2. Ouvrez la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificat, puis sélectionnez Gérer.
  3. Ouvrez la boîte de dialogue Propriétés du modèle de certificat.
  4. Sous l’onglet Nom de l’objet, sélectionnez Fournir dans la demande.
  5. Sélectionnez OK pour enregistrer le modèle de certificat, puis fermez la console Modèles de certificats.
  6. Dans la console Autorité de certification, cliquez avec le bouton droit sur Modèles>nouveau>modèle de certificat à émettre.
  7. Sélectionnez le modèle que vous avez modifié, puis sélectionnez OK.