Problemen met de implementatie van PKCS-certificaten in Intune oplossen

Dit artikel bevat richtlijnen voor probleemoplossing voor verschillende veelvoorkomende problemen bij het implementeren van PKCS-certificaten (Public Key Cryptography Standards) in Microsoft Intune. Voordat u problemen gaat oplossen, moet u ervoor zorgen dat u de volgende taken hebt voltooid, zoals wordt uitgelegd in PKCS-certificaten configureren en gebruiken met Intune:

• Bekijk de vereisten voor het gebruik van PKCS-certificaatprofielen.
• Exporteer het basiscertificaat van de certificeringsinstantie (CA).
• Configureer certificaatsjablonen op de certificeringsinstantie.
• Installeer en configureer de Intune Certificate Connector.
• Maak en implementeer een vertrouwd certificaatprofiel om het basiscertificaat te implementeren.
• Een PKCS-certificaatprofiel maken en implementeren.

De meest voorkomende oorzaak van problemen voor PKCS-certificaatprofielen is de configuratie van het PKCS-certificaatprofiel. Controleer de configuratie van profielen en zoek naar typfouten in servernamen of FQDN's (Fully Qualified Domain Names) en controleer of de naam van de certificeringsinstantie en certificeringsinstantie juist zijn.

• Certificeringsinstantie: de interne FQDN van de computer van de certificeringsinstantie. Bijvoorbeeld server1.domain.local.
• Naam van certificeringsinstantie: de naam van de certificeringsinstantie zoals weergegeven in de MMC van de certificeringsinstantie. Kijk onder Certificeringsinstantie (lokaal)

U kunt het opdrachtregelprogramma certutil op de CA gebruiken om de juiste naam te bevestigen voor de certificeringsinstantie en de naam van de certificeringsinstantie.

Overzicht van PKCS-communicatie

De volgende afbeelding biedt een basisoverzicht van het PKCS-certificaatimplementatieproces in Intune.

1. Een beheerder maakt een PKCS-certificaatprofiel in Intune.
2. De Intune-service vraagt aan dat de on-premises Intune Certificate Connector een nieuw certificaat voor de gebruiker maakt.
3. De Intune-certificaatconnector verzendt een PFX-blob en aanvraag naar uw Microsoft-certificeringsinstantie.
4. De certificeringsinstantie geeft problemen en verzendt het PFX-gebruikerscertificaat terug naar de Intune-certificaatconnector.
5. De Intune Certificate Connector uploadt het versleutelde PFX-gebruikerscertificaat naar Intune.
6. Intune ontsleutelt het PFX-gebruikerscertificaat en versleutelt het opnieuw voor het apparaat met behulp van het Apparaatbeheer-certificaat. Intune verzendt vervolgens het PFX-gebruikerscertificaat naar het apparaat.
7. Het apparaat rapporteert de certificaatstatus aan Intune.

Logboekbestanden

Als u problemen wilt identificeren voor de werkstroom voor communicatie en certificaatinrichting, controleert u logboekbestanden van zowel de Server-infrastructuur als van apparaten. Latere secties voor het oplossen van problemen met PKCS-certificaatprofielen verwijzen naar logboekbestanden waarnaar in deze sectie wordt verwezen.

• Infrastructuur- en serverlogboeken

Apparaatlogboeken zijn afhankelijk van het apparaatplatform:

• iOS en iPadOS
• Android
• Windows

Logboeken voor on-premises infrastructuur

On-premises infrastructuur die ondersteuning biedt voor het gebruik van PKCS-certificaatprofielen voor certificaatimplementaties, omvat de Microsoft Intune Certificate Connector en de certificeringsinstantie.

Logboekbestanden voor deze rollen omvatten Windows-Logboeken, certificaatconsoles en verschillende logboekbestanden die specifiek zijn voor de Intune Certificate Connector, of andere rollen en bewerkingen die deel uitmaken van de on-premises infrastructuur.

• NDESConnector_date_time.svclog:

  Dit logboek toont communicatie van de Microsoft Intune Certificate Connector naar de Intune-cloudservice. U kunt het hulpprogramma Service Trace Viewer gebruiken om dit logboekbestand weer te geven.

  Gerelateerde registersleutel: HKLM\SW\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

  Locatie: Op de server waarop de Intune Certificate Connector wordt gehost op %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs

• Windows-toepassingslogboek:

  Locatie: Op de server waarop de Intune Certificate Connector wordt gehost: voer eventvwr.msc uit om Windows Logboeken te openen

Logboeken voor Android-apparaten

Gebruik voor apparaten met Android het logboekbestand van de Android-Bedrijfsportal-app OMADM.log. Voordat u logboeken verzamelt en bekijkt, moet u ervoor zorgen dat uitgebreide logboekregistratie is ingeschakeld en reproduceert u het probleem.

Als u de OMADM.logs van een apparaat wilt verzamelen, raadpleegt u Logboeken uploaden en e-mailen met behulp van een USB-kabel.

U kunt ook logboeken uploaden en e-mailen ter ondersteuning.

Logboeken voor iOS- en iPadOS-apparaten

Voor apparaten met iOS/iPadOS gebruikt u foutopsporingslogboeken en Xcode die op een Mac-computer worden uitgevoerd:

1. Verbind het iOS-/iPadOS-apparaat met Mac en ga vervolgens naar Applications>Utilities om de Console-app te openen.

2. Selecteer onder Actie Infoberichten opnemen en Foutopsporingsberichten opnemen.

   

3. Reproduceer het probleem en sla de logboeken vervolgens op in een tekstbestand:

   1. Selecteer Alles bewerken>om alle berichten op het huidige scherm te selecteren en selecteer vervolgens Kopiëren bewerken>om de berichten naar het klembord te kopiëren.
   2. Open de TextEdit-toepassing, plak de gekopieerde logboeken in een nieuw tekstbestand en sla het bestand op.

Het Bedrijfsportal logboek voor iOS- en iPadOS-apparaten bevat geen informatie over PKCS-certificaatprofielen.

Logboeken voor Windows-apparaten

Voor apparaten met Windows gebruikt u de Windows-gebeurtenislogboeken om registratie- of apparaatbeheerproblemen vast te stellen voor apparaten die u beheert met Intune.

Open op het apparaat Logboeken> Applications and Services Logs>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider

Antivirusuitsluitingen

Overweeg antivirusuitsluitingen toe te voegen op servers waarop de Intune Certificate Connector wordt gehost wanneer:

• Certificaataanvragen bereiken de server of de Intune Certificate Connector, maar worden niet verwerkt
• Certificaten worden langzaam uitgegeven

Hier volgen enkele voorbeelden van locaties die u kunt uitsluiten:

• %program_files%\Microsoft Intune\PfxRequest
• %program_files%\Microsoft Intune\CertificateRequestStatus
• %program_files%\Microsoft Intune\CertificateRevocationStatus

Algemene fouten

De volgende veelvoorkomende fouten worden in een volgende sectie behandeld:

• De RPC-server is niet beschikbaar 0x800706ba
• Een inschrijvingsbeleidsserver kan niet worden gevonden 0x80094015
• De inzending is in behandeling
• De parameter is onjuist 0x80070057
• Geweigerd door beleidsmodule
• Certificaatprofiel vastgelopen als In behandeling
• Fout -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

De RPC-server is niet beschikbaar 0x800706ba

Tijdens de PFX-implementatie wordt het vertrouwde basiscertificaat weergegeven op het apparaat, maar het PFX-certificaat wordt niet weergegeven op het apparaat. Het logboekbestand NDESConnector_date_time.svclog bevat de tekenreeks De RPC-server is niet beschikbaar. 0x800706ba, zoals te zien is in de eerste regel van het volgende voorbeeld:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x800706BA): CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
IssuePfx -Generic Exception: System.ArgumentException: CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094800): The requested certificate template is not supported by this CA. (Exception from HRESULT: 0x80094800)

Oorzaak 1: onjuiste configuratie van de CA in Intune

Dit probleem kan optreden wanneer het PKCS-certificaatprofiel de verkeerde server opgeeft of spelfouten bevat voor de naam of FQDN van de CA. De CA wordt opgegeven in de volgende eigenschappen van het profiel:

• Certificeringsinstantie
• Naam van certificeringsinstantie

Oplossing:

Controleer de volgende instellingen en herstel of deze onjuist zijn:

• De eigenschap Certificeringsinstantie geeft de interne FQDN van uw CA-server weer.
• De naameigenschap van de certificeringsinstantie geeft de naam van uw CA weer.

Oorzaak 2: CA biedt geen ondersteuning voor certificaatvernieuwing voor aanvragen die zijn ondertekend door eerdere CA-certificaten

Als de CA-FQDN en de naam juist zijn in het PKCS-certificaatprofiel, controleert u het Windows-toepassingslogboek dat zich op de server van de certificeringsinstantie bevindt. Zoek naar een gebeurtenis-id 128 die lijkt op het volgende voorbeeld:

Log Name: Application:
Source: Microsoft-Windows-CertificationAuthority
Event ID: 128
Level: Warning
Details:
An Authority Key Identifier was passed as part of the certificate request 2268. This feature has not been enabled. To enable specifying a CA key for certificate signing, run: "certutil -setreg ca\UseDefinedCACertInRequest 1" and then restart the service.

Wanneer het CA-certificaat wordt vernieuwd, moet het het certificaat voor het ondertekenen van het ocsp-antwoord (Online Certificate Status Protocol) ondertekenen. Met ondertekening kan het OCSP-certificaat voor antwoordondertekening andere certificaten valideren door de intrekkingsstatus ervan te controleren. Deze ondertekening is niet standaard ingeschakeld.

Oplossing:

Handmatig ondertekening van het certificaat afdwingen:

1. Open op de CA-server een opdrachtprompt met verhoogde bevoegdheid en voer de volgende opdracht uit: certutil -setreg ca\UseDefinedCACertInRequest 1
2. Start de Certificate Services-service opnieuw.

Nadat de Certificate Services-service opnieuw is opgestart, kunnen apparaten certificaten ontvangen.

Een inschrijvingsbeleidsserver kan niet worden gevonden 0x80094015

Een inschrijvingsbeleidsserver kan niet worden gevonden en 0x80094015, zoals te zien is in het volgende voorbeeld:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094015): An enrollment policy server cannot be located. (Exception from HRESULT: 0x80094015)

Oorzaak: servernaam certificaatinschrijvingsbeleid

Dit probleem treedt op als de computer waarop de Intune Certificate Connector wordt gehost, geen server voor certificaatinschrijvingsbeleid kan vinden.

Oplossing:

Configureer handmatig de naam van de certificaatinschrijvingsbeleidsserver op de computer waarop de Intune Certificate Connector wordt gehost. Gebruik de PowerShell-cmdlet Add-CertificateEnrollmentPolicyServer om de naam te configureren.

De inzending is in behandeling

Nadat u een PKCS-certificaatprofiel op mobiele apparaten hebt geïmplementeerd, worden de certificaten niet verkregen en bevat het logboek NDESConnector_date_time.svclog de tekenreeks De inzending is in behandeling, zoals in het volgende voorbeeld wordt weergegeven:

IssuePfx - The submission is pending: Taken Under Submission
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission is pending

Bovendien ziet u op de server van de certificeringsinstantie de PFX-aanvraag in de map Aanvragen in behandeling:

Oorzaak: onjuiste configuratie voor aanvraagafhandeling

Dit probleem treedt op als de optie De aanvraagstatus instellen op In behandeling. De beheerder moet expliciet het certificaat uitgeven dat is geselecteerd in het dialoogvenster Eigenschappenbeleidsmoduleeigenschappen> van de certificeringsinstantie.>

Oplossing:

Bewerk de eigenschappen van de beleidsmodule die u wilt instellen: volg de instellingen in de certificaatsjabloon, indien van toepassing. Anders geeft u het certificaat automatisch uit.

De parameter is onjuist 0x80070057

Als de Intune Certificate Connector is geïnstalleerd en geconfigureerd, ontvangen apparaten geen PKCS-certificaten en bevat het logboek NDESConnector_date_time.svclog de tekenreeks De parameter is onjuist. 0x80070057, zoals te zien is in het volgende voorbeeld:

CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

Oorzaak: configuratie van het PKCS-profiel

Dit probleem treedt op als het PKCS-profiel in Intune onjuist is geconfigureerd. Hier volgen veelvoorkomende onjuiste configuraties:

• Het profiel bevat een onjuiste naam voor de CA.
• De alternatieve onderwerpnaam (SAN) is geconfigureerd voor e-mailadres, maar de doelgebruiker heeft nog geen geldig e-mailadres. Deze combinatie resulteert in een null-waarde voor het SAN, wat ongeldig is.

Oplossing:

Controleer de volgende configuraties voor het PKCS-profiel en wacht tot het beleid is vernieuwd op het apparaat:

• Geconfigureerd met de naam van de CA
• Toegewezen aan de juiste gebruikersgroep
• Gebruikers in de groep hebben geldige e-mailadressen

Zie PKCS-certificaten configureren en gebruiken met Intune voor meer informatie.

Geweigerd door beleidsmodule

Wanneer apparaten het vertrouwde basiscertificaat ontvangen, maar het PFX-certificaat niet ontvangen en het logboek NDESConnector_date_time.svclog de tekenreeks Bevat de tekenreeks De inzending is mislukt: Geweigerd door beleidsmodule, zoals wordt weergegeven in het volgende voorbeeld:

IssuePfx - The submission failed: Denied by Policy Module
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission failed
   at Microsoft.Management.Services.NdesConnector.MicrosoftCA.GetCertificate(PfxRequestDataStorage pfxRequestData, String containerName, String& certificate, String& password)
Issuing Pfx certificate for Device ID <Device ID> failed  

Oorzaak: computeraccountmachtigingen voor de certificaatsjabloon

Dit probleem treedt op wanneer het computeraccount van de server waarop de Intune Certificate Connector wordt gehost, geen machtigingen heeft voor de certificaatsjabloon.

Oplossing:

1. Meld u aan bij uw ondernemings-CA met een account met beheerdersbevoegdheden.
2. Open de console van de certificeringsinstantie, klik met de rechtermuisknop op Certificaatsjablonen en selecteer Beheren.
3. Zoek de certificaatsjabloon en open het dialoogvenster Eigenschappen van de sjabloon.
4. Selecteer het tabblad Beveiliging en voeg het computeraccount toe voor de server waarop u de Microsoft Intune Certificate Connector hebt geïnstalleerd. Verleent dat account lees- en inschrijvingsmachtigingen .
5. Selecteer OK toepassen>om de certificaatsjabloon op te slaan en sluit vervolgens de console Certificaatsjablonen.
6. Klik in de console van de certificeringsinstantie met de rechtermuisknop op Certificaatsjablonen>nieuw>certificaatsjabloon om uit te geven.
7. Selecteer de sjabloon die u hebt gewijzigd en klik vervolgens op OK.

Zie Certificaatsjablonen configureren op de CA voor meer informatie.

Certificaatprofiel vastgelopen als In behandeling

In het Microsoft Intune-beheercentrum kunnen PKCS-certificaatprofielen niet worden geïmplementeerd met de status In behandeling. Er zijn geen duidelijke fouten in het logboekbestand NDESConnector_date_time.svclog. Omdat de oorzaak van dit probleem niet duidelijk wordt geïdentificeerd in logboeken, doorloopt u de volgende oorzaken.

Oorzaak 1- Niet-verwerkte aanvraagbestanden

Controleer de aanvraagbestanden op fouten die aangeven waarom ze niet konden worden verwerkt.

1. Gebruik op de server waarop de Intune Certificate Connector wordt gehost Bestandenverkenner om naar %programfiles%\Microsoft Intune\PfxRequest te navigeren.

2. Bekijk bestanden in de mappen Mislukt en Verwerken , met behulp van uw favoriete teksteditor.

   

3. Zoek in deze bestanden naar vermeldingen die fouten aangeven of problemen voorstellen. Zoek met behulp van een zoekopdracht op internet de foutberichten op voor aanwijzingen waarom de aanvraag niet kan worden verwerkt en voor oplossingen voor deze problemen.

Oorzaak 2: onjuiste configuratie voor het PKCS-certificaatprofiel

Wanneer u geen aanvraagbestanden vindt in de mappen Mislukt, Verwerken of Slagen , kan het zijn dat het verkeerde certificaat is gekoppeld aan het PKCS-certificaatprofiel. Een onderliggende CA is bijvoorbeeld gekoppeld aan het profiel of het verkeerde basiscertificaat wordt gebruikt.

Oplossing:

1. Controleer uw vertrouwde certificaatprofiel om ervoor te zorgen dat u het basiscertificaat van uw ca voor ondernemingen hebt geïmplementeerd op apparaten.
2. Controleer uw PKCS-certificaatprofiel om ervoor te zorgen dat het verwijst naar de juiste CA, het certificaattype en het vertrouwde certificaatprofiel waarmee het basiscertificaat op apparaten wordt geïmplementeerd.

Zie Certificaten gebruiken voor verificatie in Microsoft Intune voor meer informatie.

Fout -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

PKCS-certificaten kunnen niet worden geïmplementeerd en de certificaatconsole op de verlenende CA geeft een bericht weer met de tekenreeks -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED, zoals te zien is in het volgende voorbeeld:

Active Directory Certificate Services denied request abc123 because The Email name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). The request was for CN=" Common Name".  Additional information: Denied by Policy Module".

Oorzaak: 'Levering in de aanvraag' is onjuist geconfigureerd

Dit probleem treedt op als de optie Opgeven in de aanvraag niet is ingeschakeld op het tabblad Onderwerpnaam in het dialoogvenster Eigenschappen van certificaatsjabloon.

Oplossing:

Bewerk de sjabloon om het configuratieprobleem op te lossen:

1. Meld u aan bij uw ondernemings-CA met een account met beheerdersbevoegdheden.
2. Open de console van de certificeringsinstantie, klik met de rechtermuisknop op Certificaatsjablonen en selecteer Beheren.
3. Open het dialoogvenster Eigenschappen van de certificaatsjabloon.
4. Selecteer Op het tabblad Onderwerpnaam de optie Opgeven in de aanvraag.
5. Selecteer OK om de certificaatsjabloon op te slaan en sluit vervolgens de console Certificaatsjablonen .
6. Klik in de console van de certificeringsinstantie met de rechtermuisknop op Sjablonen>nieuw>certificaatsjabloon om uit te geven.
7. Selecteer de sjabloon die u hebt gewijzigd en selecteer vervolgens OK.