Udostępnij za pośrednictwem

Rozwiązywanie problemów z dostarczaniem certyfikatów aprowizowania przez protokół SCEP do urządzeń w usłudze Microsoft Intune

  • Artykuł

Ten artykuł zawiera wskazówki dotyczące rozwiązywania problemów, które ułatwiają badanie dostarczania certyfikatów do urządzeń w przypadku używania prostego protokołu rejestrowania certyfikatów (SCEP) do aprowizowania certyfikatów w usłudze Intune. Po odebraniu żądanego certyfikatu dla urządzenia z urzędu certyfikacji (CA) serwer usługi rejestracji urządzeń sieciowych (NDES) przekazuje ten certyfikat z powrotem do urządzenia.

Ten artykuł dotyczy kroku 5 przepływu pracy komunikacji protokołu SCEP; dostarczenia certyfikatu do urządzenia, które przesłało żądanie certyfikatu.

Przeglądanie urzędu certyfikacji

Po wystawieniu certyfikatu przez urząd certyfikacji zobaczysz wpis podobny do poniższego przykładu w urzędzie certyfikacji:

Zrzut ekranu przedstawiający przykład wystawionych certyfikatów.

Przeglądanie urządzenia

Android

W przypadku urządzeń zarejestrowanych przez administratora urządzeń zostanie wyświetlone powiadomienie podobne do poniższego obrazu z monitem o zainstalowanie certyfikatu:

Zrzut ekranu przedstawiający powiadomienie systemu Android.

W przypadku systemu Android Enterprise lub Samsung Knox instalacja certyfikatu jest automatyczna i dyskretna.

Aby wyświetlić zainstalowany certyfikat w systemie Android, użyj aplikacji do wyświetlania certyfikatów innej firmy.

Możesz również przejrzeć dziennik OMADM urządzeń. Wyszukaj wpisy podobne do następujących przykładów, które są rejestrowane podczas instalowania certyfikatów:

Certyfikat główny:

2018-02-27T04:50:52.1890000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        9    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALL_REQUESTED
2018-02-27T04:53:31.1300000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        0    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T04:53:32.0390000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595       14    Root cert '17…' state changed from CERT_INSTALLING to CERT_INSTALL_SUCCESS

Certyfikat aprowizowany za pośrednictwem protokołu SCEP

2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    There are 1 requests
2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    Trying to enroll certificate request: ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787
2018-02-27T05:16:20.6150000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:20.6530000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:21.7460000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.7890000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:28.0340000    VERB    Event     org.jscep.transaction.EnrollmentTransaction    18327       10    Response: org.jscep.message.CertRep@3150777b[failInfo=<null>,pkiStatus=SUCCESS,recipientNonce=Nonce [GUID],messageData=org.spongycastle.cms.CMSSignedData@27cc8998,messageType=CERT_REP,senderNonce=Nonce [GUID],transId=TRANSID]
2018-02-27T05:16:28.2440000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       10    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ENROLLED to CERT_INSTALL_REQUESTED
2018-02-27T05:18:44.9820000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327        0    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T05:18:45.3460000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       14    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALLING to CERT_ACCESS_REQUESTED
2018-02-27T05:20:15.3520000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       21    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ACCESS_REQUESTED to CERT_ACCESS_GRANTED

iOS/iPadOS

Na urządzeniu z systemem iOS/iPadOS lub iPadOS można wyświetlić certyfikat w obszarze profilu Zarządzanie urządzeniami. Przejdź do szczegółów, aby wyświetlić szczegółowe informacje dotyczące zainstalowanych certyfikatów.

Zrzut ekranu przedstawiający certyfikaty systemu iOS w obszarze profilu Zarządzanie urządzeniami.

Wpisy podobne do następujących można znaleźć w dzienniku debugowania systemu iOS:

Debug 18:30:53.691033 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\  
Debug 18:30:54.640644 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
Debug 18:30:55.487908 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgMFADCABgkqhkiG9w0BBwGggCSABIIZfzCABgkqhkiG9w0BBwOggDCAAgEAMYIBgjCCAX4CAQAwZjBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxHDAaBgoJkiaJk/IsZAEZFgxmb3VydGhjb2ZmZWUxGDAWBgNVBAMTD0ZvdXJ0aENvZmZlZSBDQQITaAAAAAmaneVjEPlcTwAAAAAACTANBgkqhkiG9w0BAQEFAASCAQCqfsOYpuBToerQLkw/tl4tH9E+97TBTjGQN9NCjSgb78fF6edY0pNDU+PH4RB356wv3rfZi5IiNrVu5Od4k6uK4w0582ZM2n8NJFRY7KWSNHsmTIWlo/Vcr4laAtq5rw+CygaYcefptcaamkjdLj07e/Uk4KsetGo7ztPVjSEFwfRIfKv474dLDmPqp0ZwEWRQG 
Debug 18:30:57.285730 -0500 profiled Adding dependent Microsoft.Profiles.MDM to parent www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 in domain ManagedProfileToManagingProfile to system\ 
Default 18:30:57.320616 -0500 profiled Profile \'93www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295\'94 installed.\

Windows

Na urządzeniu z systemem Windows sprawdź, czy certyfikat został dostarczony:

  • Uruchom plik eventvwr.msc, aby otworzyć Podgląd zdarzeń. Przejdź do pozycji Dzienniki aplikacji i usług Microsoft>>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin i poszukaj zdarzenia 39. To zdarzenie powinno mieć ogólny opis: SCEP: certyfikat został pomyślnie zainstalowany.

    Zrzut ekranu przedstawiający zdarzenie 39 w dzienniku aplikacji systemu Windows.

Aby wyświetlić certyfikat na urządzeniu, uruchom program certmgr.msc , aby otworzyć certyfikaty MMC i sprawdzić, czy certyfikaty główne i SCEP są poprawnie zainstalowane na urządzeniu w magazynie osobistym:

  1. Przejdź do pozycji Certyfikaty (komputer lokalny)>Zaufane główne urzędy>certyfikacji Certyfikaty i sprawdź, czy certyfikat główny z urzędu certyfikacji jest obecny. Wartości wystawione do i wystawione przez będą takie same.
  2. W konsoli MMC certyfikatów przejdź do pozycji Certyfikaty — bieżące certyfikaty osobiste>użytkownika>i sprawdź, czy żądany certyfikat jest obecny z wartością Wystawiona przez równą nazwie urzędu certyfikacji.

Rozwiązywanie problemów z błędami

Android

Aby rozwiązać problemy z dostarczaniem certyfikatów, przejrzyj błędy zarejestrowane w dzienniku OMA DM.

iOS/iPadOS

Aby rozwiązać problemy z dostarczaniem certyfikatów, przejrzyj błędy zarejestrowane w dzienniku debugowania urządzeń.

Windows

Aby rozwiązać problemy z certyfikatem, który nie jest zainstalowany na urządzeniu, poszukaj w dzienniku zdarzeń systemu Windows pod kątem błędów sugerujących problemy:

  • Na urządzeniu uruchom plik eventvwr.msc, aby otworzyć Podgląd zdarzeń, a następnie przejdź do pozycji Dzienniki aplikacji i usług Microsoft>>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin.

Błędy związane z dostarczaniem i instalacją certyfikatu na urządzeniu są zwykle związane z operacjami systemu Windows, a nie z usługą Intune.

Następne kroki

Jeśli certyfikat zostanie pomyślnie wdrożony na urządzeniu, ale usługa Intune nie zgłosi powodzenia, zobacz Raportowanie usługi NDES w usłudze Intune w celu rozwiązywania problemów z raportowaniem.