Udostępnij za pośrednictwem

Rozwiązywanie problemów z wdrażaniem certyfikatu PKCS w usłudze Intune

  • Artykuł

Ten artykuł zawiera wskazówki dotyczące rozwiązywania kilku typowych problemów podczas wdrażania certyfikatów PKCS (Public Key Cryptography Standards) w usłudze Microsoft Intune. Przed rozwiązaniem problemów upewnij się, że zostały wykonane następujące zadania, jak wyjaśniono w artykule Konfigurowanie i używanie certyfikatów PKCS w usłudze Intune:

  • Zapoznaj się z wymaganiami dotyczącymi używania profilów certyfikatów PKCS.
  • Wyeksportuj certyfikat główny z urzędu certyfikacji przedsiębiorstwa (CA).
  • Skonfiguruj szablony certyfikatów w urzędzie certyfikacji.
  • Zainstaluj i skonfiguruj łącznik certyfikatów usługi Intune.
  • Utwórz i wdróż profil zaufanego certyfikatu w celu wdrożenia certyfikatu głównego.
  • Utwórz i wdróż profil certyfikatu PKCS.

Najczęstszym źródłem problemów z profilami certyfikatów PKCS jest konfiguracja profilu certyfikatu PKCS. Przejrzyj konfigurację profilów i poszukaj literówek w nazwach serwerów lub w pełni kwalifikowanych nazw domen (FQDN) i upewnij się, że urząd certyfikacji i nazwa urzędu certyfikacji są poprawne.

  • Urząd certyfikacji: wewnętrzna nazwa FQDN komputera urzędu certyfikacji. Na przykład server1.domain.local.
  • Nazwa urzędu certyfikacji: nazwa urzędu certyfikacji wyświetlana w programie MMC urzędu certyfikacji. Sprawdź w obszarze Urząd certyfikacji (lokalny)

Możesz użyć programu wiersza polecenia certutil w urzędzie certyfikacji, aby potwierdzić poprawną nazwę urzędu certyfikacji i nazwę urzędu certyfikacji.

Omówienie komunikacji PKCS

Poniższa grafika zawiera podstawowe omówienie procesu wdrażania certyfikatu PKCS w usłudze Intune.

Zrzut ekranu przedstawiający przepływ profilu certyfikatu PKCS.

  1. Administrator tworzy profil certyfikatu PKCS w usłudze Intune.
  2. Usługa Intune żąda, aby lokalny łącznik certyfikatów usługi Intune utworzył nowy certyfikat dla użytkownika.
  3. Łącznik certyfikatów usługi Intune wysyła obiekt blob PFX i żądanie do urzędu certyfikacji firmy Microsoft.
  4. Urząd certyfikacji wystawia certyfikat użytkownika PFX i wysyła go z powrotem do łącznika certyfikatów usługi Intune.
  5. Łącznik certyfikatów usługi Intune przekazuje zaszyfrowany certyfikat użytkownika PFX do usługi Intune.
  6. Usługa Intune odszyfrowuje certyfikat użytkownika PFX i ponownie szyfruje urządzenie przy użyciu certyfikatu Zarządzanie urządzeniami. Następnie usługa Intune wysyła certyfikat użytkownika PFX do urządzenia.
  7. Urządzenie zgłasza stan certyfikatu do usługi Intune.

Plik dzienników

Aby zidentyfikować problemy dotyczące przepływu pracy komunikacji i aprowizacji certyfikatów, przejrzyj pliki dziennika zarówno z infrastruktury serwera, jak i z urządzeń. W kolejnych sekcjach dotyczących rozwiązywania problemów z profilami certyfikatów PKCS zapoznaj się z plikami dzienników, do których odwołuje się ta sekcja.

Dzienniki urządzeń zależą od platformy urządzeń:

Dzienniki infrastruktury lokalnej

Infrastruktura lokalna, która obsługuje korzystanie z profilów certyfikatów PKCS na potrzeby wdrożeń certyfikatów, obejmuje łącznik certyfikatów usługi Microsoft Intune i urząd certyfikacji.

Pliki dziennika dla tych ról obejmują Podgląd zdarzeń systemu Windows, konsole certyfikatów i różne pliki dziennika specyficzne dla łącznika certyfikatów usługi Intune lub inne role i operacje, które są częścią infrastruktury lokalnej.

  • NDESConnector_date_time.svclog:

    Ten dziennik przedstawia komunikację z łącznika certyfikatów usługi Microsoft Intune do usługi Intune w chmurze. Aby wyświetlić ten plik dziennika, możesz użyć narzędzia podglądu śledzenia usługi.

    Powiązany klucz rejestru: HKLM\SW\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

    Lokalizacja: na serwerze hostujący łącznik certyfikatów usługi Intune w lokalizacji %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs

  • Dziennik aplikacji systemu Windows:

    Lokalizacja: Na serwerze hostujący łącznik certyfikatów usługi Intune: uruchom plik eventvwr.msc, aby otworzyć Podgląd zdarzeń systemu Windows

Dzienniki dla urządzeń z systemem Android

W przypadku urządzeń z systemem Android użyj pliku dziennika aplikacji Portal firmy systemu Android OMADM.log. Przed zebraniu i przejrzeniu dzienników włącz pełne rejestrowanie , a następnie odtwórz problem.

Aby zebrać dzienniki OMADM.logs z urządzenia, zobacz Przekazywanie i wysyłanie dzienników poczty e-mail przy użyciu USB.

Możesz również przekazać dzienniki i wysłać je pocztą e-mail do pomocy technicznej.

Dzienniki dla urządzeń z systemem iOS i iPadOS

W przypadku urządzeń z systemem iOS/iPadOS należy użyć dzienników debugowania i środowiska Xcode działającego na komputerze Mac:

  1. Połącz urządzenie z systemem iOS/iPadOS z komputerem Mac, a następnie przejdź do pozycji Narzędzia aplikacji>, aby otworzyć aplikację Konsola.

  2. W obszarze Akcja wybierz pozycję Uwzględnij komunikaty informacyjne i Dołącz komunikaty debugowania.

    Zrzut ekranu przedstawia wybrane opcje Uwzględnij komunikaty informacyjne i Dołącz komunikaty debugowania.

  3. Odtwórz problem, a następnie zapisz dzienniki w pliku tekstowym:

    1. Wybierz pozycję Edytuj>zaznacz wszystko, aby wybrać wszystkie komunikaty na bieżącym ekranie, a następnie wybierz pozycję Edytuj>kopię, aby skopiować komunikaty do schowka.
    2. Otwórz aplikację TextEdit, wklej skopiowane dzienniki do nowego pliku tekstowego, a następnie zapisz plik.

Dziennik Portal firmy dla urządzeń z systemami iOS i iPadOS nie zawiera informacji o profilach certyfikatów PKCS.

Dzienniki dla urządzeń z systemem Windows

W przypadku urządzeń z systemem Windows użyj dzienników zdarzeń systemu Windows, aby zdiagnozować problemy z rejestracją lub zarządzaniem urządzeniami dla urządzeń zarządzanych za pomocą usługi Intune.

Na urządzeniu otwórz Podgląd zdarzeń >Applications and Services Logs>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider

Zrzut ekranu przedstawiający dzienniki zdarzeń systemu Windows.

Wykluczenia oprogramowania antywirusowego

Rozważ dodanie wykluczeń programu antywirusowego na serwerach hostujących łącznik certyfikatów usługi Intune w następujących przypadkach:

  • Żądania certyfikatów docierają do serwera lub łącznika certyfikatów usługi Intune, ale nie są pomyślnie przetwarzane
  • Certyfikaty są wydawane powoli

Poniżej przedstawiono przykłady lokalizacji, które można wykluczyć:

  • %program_files%\Microsoft Intune\PfxRequest
  • %program_files%\Microsoft Intune\CertificateRequestStatus
  • %program_files%\Microsoft Intune\CertificateRevocationStatus

Typowe błędy

Następujące typowe błędy są rozwiązywane w następującej sekcji:

Serwer RPC jest niedostępny 0x800706ba

Podczas wdrażania PFX zaufany certyfikat główny jest wyświetlany na urządzeniu, ale certyfikat PFX nie jest wyświetlany na urządzeniu. Plik dziennika NDESConnector_date_time.svclog zawiera ciąg Serwer RPC jest niedostępny. 0x800706ba, jak pokazano w pierwszym wierszu następującego przykładu:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x800706BA): CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
IssuePfx -Generic Exception: System.ArgumentException: CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094800): The requested certificate template is not supported by this CA. (Exception from HRESULT: 0x80094800)

Przyczyna 1 — nieprawidłowa konfiguracja urzędu certyfikacji w usłudze Intune

Ten problem może wystąpić, gdy profil certyfikatu PKCS określa niewłaściwy serwer lub zawiera błędy pisowni dla nazwy lub nazwy FQDN urzędu certyfikacji. Urząd certyfikacji jest określony w następujących właściwościach profilu:

  • Urząd certyfikacji
  • Nazwa urzędu certyfikacji

Rozwiązanie 2.

Przejrzyj następujące ustawienia i napraw je, jeśli są one nieprawidłowe:

  • Właściwość Urząd certyfikacji wyświetla wewnętrzną nazwę FQDN serwera urzędu certyfikacji.
  • Właściwość Nazwa urzędu certyfikacji wyświetla nazwę urzędu certyfikacji.

Przyczyna 2 — urząd certyfikacji nie obsługuje odnawiania certyfikatów dla żądań podpisanych przez poprzednie certyfikaty urzędu certyfikacji

Jeśli nazwa FQDN urzędu certyfikacji i nazwa są poprawne w profilu certyfikatu PKCS, przejrzyj dziennik aplikacji systemu Windows, który znajduje się na serwerze urzędu certyfikacji. Poszukaj zdarzenia o identyfikatorze 128 , który przypomina następujący przykład:

Log Name: Application:
Source: Microsoft-Windows-CertificationAuthority
Event ID: 128
Level: Warning
Details:
An Authority Key Identifier was passed as part of the certificate request 2268. This feature has not been enabled. To enable specifying a CA key for certificate signing, run: "certutil -setreg ca\UseDefinedCACertInRequest 1" and then restart the service.

Po odnowieniu certyfikatu urzędu certyfikacji należy podpisać certyfikat podpisywania odpowiedzi protokołu OCSP (Online Certificate Status Protocol). Podpisywanie umożliwia certyfikat podpisywania odpowiedzi OCSP w celu zweryfikowania innych certyfikatów, sprawdzając ich stan odwołania. To podpisywanie nie jest domyślnie włączone.

Rozwiązanie 2.

Ręcznie wymusić podpisanie certyfikatu:

  1. Na serwerze urzędu certyfikacji otwórz wiersz polecenia z podwyższonym poziomem uprawnień i uruchom następujące polecenie: certutil -setreg ca\UseDefinedCACertInRequest 1
  2. Uruchom ponownie usługę usług certyfikatów.

Po ponownym uruchomieniu usługi certyfikatów urządzenia mogą odbierać certyfikaty.

Nie można znaleźć serwera zasad rejestracji 0x80094015

Nie można znaleźć serwera zasad rejestracji i 0x80094015, jak pokazano w poniższym przykładzie:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094015): An enrollment policy server cannot be located. (Exception from HRESULT: 0x80094015)

Przyczyna — nazwa serwera zasad rejestracji certyfikatów

Ten problem występuje, jeśli komputer hostujący łącznik certyfikatów usługi Intune nie może zlokalizować serwera zasad rejestracji certyfikatów.

Rozwiązanie 2.

Ręcznie skonfiguruj nazwę serwera zasad rejestracji certyfikatów na komputerze hostujący łącznik certyfikatów usługi Intune. Aby skonfigurować nazwę, użyj polecenia cmdlet Add-CertificateEnrollmentPolicyServer Programu PowerShell.

Oczekiwanie na przesłanie

Po wdrożeniu profilu certyfikatu PKCS na urządzeniach przenośnych certyfikaty nie zostaną uzyskane, a dziennik NDESConnector_date_time.svclog zawiera ciąg Oczekiwanie na przesłanie, jak pokazano w poniższym przykładzie:

IssuePfx - The submission is pending: Taken Under Submission
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission is pending

Ponadto na serwerze urzędu certyfikacji można zobaczyć żądanie PFX w folderze Oczekujące żądania :

Zrzut ekranu przedstawiający folder Oczekujące żądania urzędu certyfikacji.

Przyczyna — nieprawidłowa konfiguracja obsługi żądań

Ten problem występuje, jeśli opcja Ustaw stan żądania na oczekujące. Administrator musi jawnie wydać certyfikat jest wybierany w oknie dialogowym Właściwości modułu>zasad urzędu>certyfikacji.

Zrzut ekranu przedstawiający właściwości modułu zasad.

Rozwiązanie 2.

Edytuj właściwości modułu zasad, aby ustawić: postępuj zgodnie z ustawieniami w szablonie certyfikatu, jeśli ma to zastosowanie. W przeciwnym razie automatycznie wystawiaj certyfikat.

Parametr jest niepoprawny 0x80070057

Po pomyślnym zainstalowaniu i skonfigurowaniu łącznika certyfikatów usługi Intune urządzenia nie otrzymują certyfikatów PKCS, a dziennik NDESConnector_date_time.svclog zawiera ciąg Parametr jest niepoprawny. 0x80070057, jak pokazano w poniższym przykładzie:

CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

Przyczyna — konfiguracja profilu PKCS

Ten problem występuje, jeśli profil PKCS w usłudze Intune jest nieprawidłowo skonfigurowany. Poniżej przedstawiono typowe błędy konfiguracji:

  • Profil zawiera nieprawidłową nazwę urzędu certyfikacji.
  • Alternatywna nazwa podmiotu (SAN) jest skonfigurowana dla adresu e-mail, ale docelowy użytkownik nie ma jeszcze prawidłowego adresu e-mail. Ta kombinacja powoduje, że wartość null sieci SAN jest nieprawidłowa.

Rozwiązanie 2.

Sprawdź następujące konfiguracje profilu PKCS, a następnie zaczekaj na odświeżenie zasad na urządzeniu:

  • Skonfigurowano przy użyciu nazwy urzędu certyfikacji
  • Przypisano do właściwej grupy użytkowników
  • Użytkownicy w grupie mają prawidłowe adresy e-mail

Aby uzyskać więcej informacji, zobacz Konfigurowanie i używanie certyfikatów PKCS w usłudze Intune.

Odmowa przez moduł zasad

Gdy urządzenia otrzymają zaufany certyfikat główny, ale nie otrzymają certyfikatu PFX, a dziennik NDESConnector_date_time.svclog zawiera ciąg Przesyłanie nie powiodło się: Odmowa przez moduł zasad, jak pokazano w poniższym przykładzie:

IssuePfx - The submission failed: Denied by Policy Module
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission failed
   at Microsoft.Management.Services.NdesConnector.MicrosoftCA.GetCertificate(PfxRequestDataStorage pfxRequestData, String containerName, String& certificate, String& password)
Issuing Pfx certificate for Device ID <Device ID> failed

Przyczyna — uprawnienia konta komputera do szablonu certyfikatu

Ten problem występuje, gdy konto komputera serwera, który hostuje łącznik certyfikatów usługi Intune, nie ma uprawnień do szablonu certyfikatu.

Rozwiązanie 2.

  1. Zaloguj się do urzędu certyfikacji przedsiębiorstwa przy użyciu konta z uprawnieniami administracyjnymi.
  2. Otwórz konsolę Urząd certyfikacji, kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów i wybierz polecenie Zarządzaj.
  3. Znajdź szablon certyfikatu i otwórz okno dialogowe Właściwości szablonu.
  4. Wybierz kartę Zabezpieczenia i dodaj konto komputera dla serwera, na którym zainstalowano łącznik certyfikatów usługi Microsoft Intune. Przyznaj temu kontu uprawnienia Odczyt i Zarejestruj .
  5. Wybierz pozycję Zastosuj>przycisk OK, aby zapisać szablon certyfikatu, a następnie zamknij konsolę Szablony certyfikatów.
  6. W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów>Nowy>szablon certyfikatu do wystawienia.
  7. Wybierz zmodyfikowany szablon, a następnie kliknij przycisk OK.

Aby uzyskać więcej informacji, zobacz Konfigurowanie szablonów certyfikatów w urzędzie certyfikacji.

Profil certyfikatu został zablokowany jako Oczekujący

W centrum administracyjnym usługi Microsoft Intune nie można wdrożyć profilów certyfikatów PKCS ze stanem Oczekujące. W pliku dziennika NDESConnector_date_time.svclog nie ma żadnych oczywistych błędów. Ponieważ przyczyna tego problemu nie jest wyraźnie identyfikowana w dziennikach, wykonaj następujące czynności.

Przyczyna 1 — nieprzetworzone pliki żądań

Przejrzyj pliki żądań pod kątem błędów, które wskazują, dlaczego nie można ich przetworzyć.

  1. Na serwerze, który hostuje łącznik certyfikatów usługi Intune, użyj Eksplorator plików, aby przejść do folderu %programfiles%\Microsoft Intune\PfxRequest.

  2. Przejrzyj pliki w folderach Niepowodzenie i Przetwarzanie przy użyciu ulubionego edytora tekstów.

    Zrzut ekranu przedstawiający folder PfxRequest.

  3. W tych plikach poszukaj wpisów, które wskazują błędy lub sugerują problemy. Korzystając z wyszukiwania internetowego, wyszukaj komunikaty o błędach, aby uzyskać wskazówki dotyczące tego, dlaczego żądanie nie powiodło się, oraz w celu rozwiązania tych problemów.

Przyczyna 2 — Nieprawidłowa konfiguracja profilu certyfikatu PKCS

Jeśli nie znajdziesz plików żądań w folderach Niepowodzenie, Przetwarzanie lub Powodzenie , przyczyną może być skojarzenie nieprawidłowego certyfikatu z profilem certyfikatu PKCS. Na przykład podrzędny urząd certyfikacji jest skojarzony z profilem lub używany jest nieprawidłowy certyfikat główny.

Rozwiązanie 2.

  1. Przejrzyj profil zaufanego certyfikatu, aby upewnić się, że certyfikat główny został wdrożony z urzędu certyfikacji przedsiębiorstwa na urządzeniach.
  2. Przejrzyj profil certyfikatu PKCS, aby upewnić się, że odwołuje się do odpowiedniego urzędu certyfikacji, typu certyfikatu i profilu zaufanego certyfikatu, który wdraża certyfikat główny na urządzeniach.

Aby uzyskać więcej informacji, zobacz Używanie certyfikatów do uwierzytelniania w usłudze Microsoft Intune.

Błąd -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

Wdrażanie certyfikatów PKCS nie powiodło się, a konsola certyfikatów w urzędzie wystawiającym certyfikaty wyświetla komunikat z ciągiem -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED, jak pokazano w poniższym przykładzie:

Active Directory Certificate Services denied request abc123 because The Email name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). The request was for CN=" Common Name".  Additional information: Denied by Policy Module".

Przyczyna — "Dostarczanie żądania" jest błędnie skonfigurowane

Ten problem występuje, jeśli opcja Podaj w żądaniu nie jest włączona na karcie Nazwa podmiotu w oknie dialogowym Właściwości szablonu certyfikatu.

Zrzut ekranu przedstawiający właściwości usługi NDES, w których wyróżniono opcję Podaj w żądaniu.

Rozwiązanie 2.

Edytuj szablon, aby rozwiązać problem z konfiguracją:

  1. Zaloguj się do urzędu certyfikacji przedsiębiorstwa przy użyciu konta z uprawnieniami administracyjnymi.
  2. Otwórz konsolę Urząd certyfikacji, kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów i wybierz polecenie Zarządzaj.
  3. Otwórz okno dialogowe Właściwości szablonu certyfikatu.
  4. Na karcie Nazwa podmiotu wybierz pozycję Podaj w żądaniu.
  5. Wybierz przycisk OK , aby zapisać szablon certyfikatu, a następnie zamknij konsolę Szablony certyfikatów .
  6. W konsoli Urząd certyfikacji i kliknij prawym przyciskiem myszy pozycję Szablony>Nowy>szablon certyfikatu do wystawienia.
  7. Wybierz zmodyfikowany szablon, a następnie wybierz przycisk OK.