Partilhar via

Solução de problemas de entrega de certificados provisionados pelo SCEP para dispositivos no Microsoft Intune

  • Artigo

Este artigo fornece diretrizes de solução de problemas para ajudá-lo a investigar a entrega de certificados para dispositivos quando você usa o SCEP (Simple Certificate Enrollment Protocol) para provisionar certificados no Intune. Depois que o servidor NDES (Serviço de Registro de Dispositivo de Rede) recebe o certificado solicitado para um dispositivo da autoridade de certificação (CA), ele passa esse certificado de volta para o dispositivo.

Este artigo se aplica à etapa 5 do fluxo de trabalho de comunicação SCEP; entrega do certificado ao dispositivo que enviou a solicitação de certificado.

Revise a autoridade de certificação

Quando a autoridade de certificação tiver emitido o certificado, você verá uma entrada semelhante ao exemplo a seguir na autoridade de certificação:

Captura de tela de um exemplo de certificados emitidos.

Revise o dispositivo

Android

Para dispositivos registrados no administrador do dispositivo, você verá uma notificação semelhante à imagem a seguir, que solicita a instalação do certificado:

Captura de tela de uma notificação do Android.

Para Android Enterprise ou Samsung Knox, a instalação do certificado é automática e silenciosa.

Para visualizar um certificado instalado no Android, use um aplicativo de visualização de certificados de terceiros.

Você também pode revisar o log OMADM dos dispositivos. Procure entradas semelhantes aos exemplos a seguir, que são registrados quando os certificados são instalados:

Certificado raiz:

2018-02-27T04:50:52.1890000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        9    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALL_REQUESTED
2018-02-27T04:53:31.1300000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        0    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T04:53:32.0390000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595       14    Root cert '17…' state changed from CERT_INSTALLING to CERT_INSTALL_SUCCESS

Certificado provisionado por meio do SCEP

2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    There are 1 requests
2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    Trying to enroll certificate request: ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787
2018-02-27T05:16:20.6150000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:20.6530000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:21.7460000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.7890000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:28.0340000    VERB    Event     org.jscep.transaction.EnrollmentTransaction    18327       10    Response: org.jscep.message.CertRep@3150777b[failInfo=<null>,pkiStatus=SUCCESS,recipientNonce=Nonce [GUID],messageData=org.spongycastle.cms.CMSSignedData@27cc8998,messageType=CERT_REP,senderNonce=Nonce [GUID],transId=TRANSID]
2018-02-27T05:16:28.2440000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       10    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ENROLLED to CERT_INSTALL_REQUESTED
2018-02-27T05:18:44.9820000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327        0    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T05:18:45.3460000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       14    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALLING to CERT_ACCESS_REQUESTED
2018-02-27T05:20:15.3520000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       21    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ACCESS_REQUESTED to CERT_ACCESS_GRANTED

iOS/iPadOS

No dispositivo iOS/iPadOS ou iPadOS, você pode exibir o certificado no Perfil de Gerenciamento de Dispositivos. Faça uma busca detalhada para ver os detalhes dos certificados instalados.

Captura de tela dos certificados do iOS no Perfil de Gerenciamento de Dispositivos.

Você também pode encontrar entradas semelhantes às seguintes no log de depuração do iOS:

Debug 18:30:53.691033 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\  
Debug 18:30:54.640644 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
Debug 18:30:55.487908 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgMFADCABgkqhkiG9w0BBwGggCSABIIZfzCABgkqhkiG9w0BBwOggDCAAgEAMYIBgjCCAX4CAQAwZjBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxHDAaBgoJkiaJk/IsZAEZFgxmb3VydGhjb2ZmZWUxGDAWBgNVBAMTD0ZvdXJ0aENvZmZlZSBDQQITaAAAAAmaneVjEPlcTwAAAAAACTANBgkqhkiG9w0BAQEFAASCAQCqfsOYpuBToerQLkw/tl4tH9E+97TBTjGQN9NCjSgb78fF6edY0pNDU+PH4RB356wv3rfZi5IiNrVu5Od4k6uK4w0582ZM2n8NJFRY7KWSNHsmTIWlo/Vcr4laAtq5rw+CygaYcefptcaamkjdLj07e/Uk4KsetGo7ztPVjSEFwfRIfKv474dLDmPqp0ZwEWRQG 
Debug 18:30:57.285730 -0500 profiled Adding dependent Microsoft.Profiles.MDM to parent www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 in domain ManagedProfileToManagingProfile to system\ 
Default 18:30:57.320616 -0500 profiled Profile \'93www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295\'94 installed.\

Windows

Em um dispositivo Windows, verifique se o certificado foi entregue:

  • Execute eventvwr.msc para abrir o Visualizador de Eventos. Vá para Logs>de Aplicativos e Serviços Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin e procure o Evento 39. Este evento deve ter uma descrição geral de: SCEP: certificado instalado com êxito.

    Captura de tela do evento 39 no log de aplicativos do Windows.

Para exibir o certificado no dispositivo, execute certmgr.msc para abrir o MMC de Certificados e verificar se os certificados raiz e SCEP estão instalados corretamente no dispositivo no repositório pessoal:

  1. Vá para Certificados (Computador Local)>Certificados de Autoridades de Certificação>Raiz Confiáveis e verifique se o certificado raiz da sua CA está presente. Os valores de Emitido para e Emitido por serão os mesmos.
  2. No MMC de Certificados, vá para Certificados – Certificados Pessoais>do Usuário>Atual e verifique se o certificado solicitado está presente, com Emitido por igual ao nome da CA.

Solucionar problemas de falhas

Android

Para solucionar problemas de entrega de certificados, examine os erros registrados no log do OMA DM.

iOS/iPadOS

Para solucionar problemas de entrega de certificados, examine os erros registrados no log de depuração de dispositivos.

Windows

Para solucionar problemas com o certificado que não está sendo instalado no dispositivo, procure no log de eventos do Windows por erros que sugiram problemas:

  • No dispositivo, execute eventvwr.msc para abrir o Visualizador de Eventos e vá para Logs>de Aplicativos e Serviços Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin.

Os erros com a entrega e a instalação do certificado no dispositivo normalmente estão relacionados às operações do Windows e não ao Intune.

Próximas etapas

Se o certificado for implantado com êxito no dispositivo, mas o Intune não relatar êxito, consulte NDES relatando para Intune para solucionar problemas de relatórios.