Delen via

Problemen met de levering van certificaten die door SCEP zijn ingericht voor apparaten in Microsoft Intune oplossen

  • Artikel

In dit artikel vindt u richtlijnen voor probleemoplossing waarmee u de levering van certificaten aan apparaten kunt onderzoeken wanneer u SCEP (Simple Certificate Enrollment Protocol) gebruikt om certificaten in te richten in Intune. Nadat de NDES-server (Network Device Enrollment Service) het aangevraagde certificaat voor een apparaat van de certificeringsinstantie (CA) heeft ontvangen, wordt dat certificaat weer doorgegeven aan het apparaat.

Dit artikel is van toepassing op stap 5 van de SCEP-communicatiewerkstroom; levering van het certificaat aan het apparaat dat de certificaataanvraag heeft ingediend.

De certificeringsinstantie controleren

Wanneer de CA het certificaat heeft uitgegeven, ziet u een vermelding die vergelijkbaar is met het volgende voorbeeld op de CA:

Schermopname van een voorbeeld van uitgegeven certificaten.

Het apparaat controleren

Android

Voor apparaten die door de apparaatbeheerder zijn ingeschreven, ziet u een melding die lijkt op de volgende afbeelding, waarin u wordt gevraagd het certificaat te installeren:

Schermopname van een Android-melding.

Voor Android Enterprise of Samsung Knox is de installatie van het certificaat automatisch en stil.

Als u een geïnstalleerd certificaat op Android wilt weergeven, gebruikt u een app voor het weergeven van certificaten van derden.

U kunt ook het OMADM-logboek van apparaten bekijken. Zoek naar vermeldingen die lijken op de volgende voorbeelden, die worden geregistreerd wanneer certificaten worden geïnstalleerd:

Basiscertificaat::

2018-02-27T04:50:52.1890000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        9    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALL_REQUESTED
2018-02-27T04:53:31.1300000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        0    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T04:53:32.0390000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595       14    Root cert '17…' state changed from CERT_INSTALLING to CERT_INSTALL_SUCCESS

Certificaat ingericht via SCEP

2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    There are 1 requests
2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    Trying to enroll certificate request: ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787
2018-02-27T05:16:20.6150000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:20.6530000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:21.7460000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.7890000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:28.0340000    VERB    Event     org.jscep.transaction.EnrollmentTransaction    18327       10    Response: org.jscep.message.CertRep@3150777b[failInfo=<null>,pkiStatus=SUCCESS,recipientNonce=Nonce [GUID],messageData=org.spongycastle.cms.CMSSignedData@27cc8998,messageType=CERT_REP,senderNonce=Nonce [GUID],transId=TRANSID]
2018-02-27T05:16:28.2440000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       10    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ENROLLED to CERT_INSTALL_REQUESTED
2018-02-27T05:18:44.9820000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327        0    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T05:18:45.3460000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       14    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALLING to CERT_ACCESS_REQUESTED
2018-02-27T05:20:15.3520000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       21    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ACCESS_REQUESTED to CERT_ACCESS_GRANTED

iOS/iPadOS

Op het iOS-/iPadOS- of iPadOS-apparaat kunt u het certificaat weergeven onder het Apparaatbeheer-profiel. Inzoomen om details voor geïnstalleerde certificaten weer te geven.

Schermopname van iOS-certificaten onder het Apparaatbeheer-profiel.

U kunt ook vermeldingen vinden die lijken op het volgende in het foutopsporingslogboek van iOS:

Debug 18:30:53.691033 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\  
Debug 18:30:54.640644 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
Debug 18:30:55.487908 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgMFADCABgkqhkiG9w0BBwGggCSABIIZfzCABgkqhkiG9w0BBwOggDCAAgEAMYIBgjCCAX4CAQAwZjBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxHDAaBgoJkiaJk/IsZAEZFgxmb3VydGhjb2ZmZWUxGDAWBgNVBAMTD0ZvdXJ0aENvZmZlZSBDQQITaAAAAAmaneVjEPlcTwAAAAAACTANBgkqhkiG9w0BAQEFAASCAQCqfsOYpuBToerQLkw/tl4tH9E+97TBTjGQN9NCjSgb78fF6edY0pNDU+PH4RB356wv3rfZi5IiNrVu5Od4k6uK4w0582ZM2n8NJFRY7KWSNHsmTIWlo/Vcr4laAtq5rw+CygaYcefptcaamkjdLj07e/Uk4KsetGo7ztPVjSEFwfRIfKv474dLDmPqp0ZwEWRQG 
Debug 18:30:57.285730 -0500 profiled Adding dependent Microsoft.Profiles.MDM to parent www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 in domain ManagedProfileToManagingProfile to system\ 
Default 18:30:57.320616 -0500 profiled Profile \'93www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295\'94 installed.\

Windows

Controleer op een Windows-apparaat of het certificaat is geleverd:

  • Voer eventvwr.msc uit om Logboeken te openen. Ga naar Toepassingen en services registreert>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin en zoek naar Gebeurtenis 39. Deze gebeurtenis moet een algemene beschrijving hebben van: SCEP: Certificaat is geïnstalleerd.

    Schermopname van gebeurtenis 39 in het Windows-toepassingslogboek.

Als u het certificaat op het apparaat wilt weergeven, voert u certmgr.msc uit om de MMC-certificaten te openen en te controleren of de basis- en SCEP-certificaten correct zijn geïnstalleerd op het apparaat in het persoonlijke archief:

  1. Ga naar Certificaten (lokale computer)>Vertrouwde basiscertificeringsinstantiescertificaten> en controleer of het basiscertificaat van uw CA aanwezig is. De waarden voor Uitgegeven aan en Uitgegeven door zijn hetzelfde.
  2. Ga in de MMC-certificaten naar Certificaten : persoonlijke certificaten van huidige gebruiker>>en controleer of het aangevraagde certificaat aanwezig is, waarbij het certificaat gelijk is aan de naam van de CA.

Fouten oplossen

Android

Bekijk fouten die zijn vastgelegd in het OMA DM-logboek om problemen met de levering van certificaten op te lossen.

iOS/iPadOS

Als u problemen met de levering van certificaten wilt oplossen, bekijkt u fouten die zijn vastgelegd in het foutopsporingslogboek van apparaten.

Windows

Als u problemen wilt oplossen waarbij het certificaat niet op het apparaat is geïnstalleerd, zoekt u in het Windows-gebeurtenislogboek naar fouten die problemen voorstellen:

  • Voer op het apparaat eventvwr.msc uit om Logboeken te openen en ga vervolgens naar Toepassingen en Services-logboeken microsoft>>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin.

Fouten bij het leveren en installeren van het certificaat op het apparaat zijn meestal gerelateerd aan Windows-bewerkingen en niet aan Intune.

Volgende stappen

Als het certificaat op het apparaat is geïmplementeerd, maar Intune geen succes rapporteert, raadpleegt u NDES-rapportage bij Intune om problemen met rapportage op te lossen.