Solução de problemas do módulo de política NDES no Microsoft Intune
Este artigo fornece diretrizes para ajudá-lo a validar e solucionar problemas de operação do módulo de política NDES (Serviço de Registro de Dispositivo de Rede) que é instalado com o Microsoft Intune Certificate Connector. Quando o NDES recebe uma solicitação de certificado, ele encaminha a solicitação para o módulo de política, que valida a solicitação como válida para o dispositivo. Após a validação, o NDES entra em contato com a autoridade de certificação (CA) para solicitar o certificado em nome do dispositivo.
Este artigo se aplica às etapas 3 e 4 do fluxo de trabalho de comunicação do SCEP.
Comunicação NDES com o módulo de política
Depois de receber a solicitação de certificado de um dispositivo, o NDES valida essa solicitação com o Intune por meio do módulo de política que é instalado com o Microsoft Intune Certificate Connector. Essas entradas referem-se ao ponto de registro do certificado.
Entradas de log que indicam êxito:
Para confirmar se a solicitação de validação foi enviada ao módulo, procure uma entrada semelhante aos seguintes exemplos em logs no servidor NDES:
Logs do IIS:
fe80::f53d:89b8:c3e8:5fec%13 POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 - fe80::f53d:89b8:c3e8:5fec%13 NDES_Plugin - 201 0 0 341 875
NDESPlugin log:
Calling VerifyRequest ... Sending request to certificate registration point.
O exemplo a seguir indica uma validação bem-sucedida da solicitação de desafio de dispositivos e que o NDES agora pode entrar em contato com a autoridade de certificação:
Verify challenge returns true Exiting VerifyRequest with 0x0
CertificateRegistrationPoint.svclog:
Validation Phase 1 finished with status True.
Validation Phase 3 finished with status True.
VerifyRequest Finished with status True
Quando os indicadores de sucesso não estão presentes:
Se você não encontrar essas entradas, comece examinando as diretrizes de solução de problemas para comunicação do dispositivo com o servidor NDES.
Se as informações nesse artigo não ajudarem a resolver o problema, a seguir estão entradas adicionais que podem indicar problemas.
NDESPlugin.log contém um erro 12175
Quando o log contém um erro 12175 semelhante ao seguinte, pode haver um problema com o certificado SSL:
WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID
Failed to send http request /CertificateRegistrationSvc/Certificate/VerifyRequest. Error 12175
Os navegadores modernos e os navegadores em dispositivos móveis ignoram o Nome Comum em um certificado SSL se houver Nomes Alternativos de Assunto presentes.
Solução: emita o certificado SSL do servidor Web com os seguintes atributos para Nome Comum e Nome Alternativo da Entidade e vincule-o à porta 443 no IIS:
- Nome do assunto
CN = nome do servidor externo - Nome Alternativo da Entidade
Nome = nome do servidor externo
Nome DNS = nome interno do servidor
NDESPlugin.log contém um erro 403 – Proibido: Acesso negado"
Quando os logs a seguir contêm um erro 403 semelhante ao seguinte, o certificado do cliente pode ser não confiável ou inválido:
NDESPlugin.log:
Sending request to certificate registration point.
Verify challenge returns <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>403 - Forbidden: Access is denied.</title>
Log do IIS:
POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 -<IP_address>
NDES_Plugin - 403 16 2148204809 453
Esse problema ocorrerá se houver certificados de autoridade de certificação intermediários no repositório de certificados de Autoridades de Certificação Raiz Confiáveis do servidor NDES.
Se um certificado tiver os mesmos valores Emitido para e Emitido por , será um certificado raiz. Caso contrário, é um certificado intermediário.
Solução: para corrigir o problema, identifique e remova os certificados de autoridade de certificação intermediários do repositório de certificados de autoridades de certificação raiz confiáveis.
NDESPlugin.log indica que o desafio retorna false
Quando o resultado do desafio retornar false, verifique se há erros no CertificateRegistrationPoint.svclog . Por exemplo, você pode ver um erro "Não foi possível recuperar o certificado de autenticação" semelhante à seguinte entrada:
Signing certificate could not be retrieved. System.Security.Cryptography.CryptographicException: m_safeCertContext is an invalid handle. at System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid() at System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString() at Microsoft.ConfigurationManager.CertRegPoint.CRPCertificate.RetrieveSigningCert(String certThumbprint
Solução: no servidor em que o conector está instalado, abra o Editor do Registro, localize a chave do HKLM\SOFTWARE\Microsoft\MicrosoftIntune\NDESConnector
Registro e verifique se o valor SigningCertificate existe.
Se esse valor não existir, reinicie o Intune Connector Service em services.msc e verifique se o valor aparece no registro. Se o valor ainda estiver ausente, geralmente é devido a problemas de conectividade de rede entre o servidor NDES e o serviço Intune.
O NDES passa a solicitação para emitir o certificado
Após uma validação bem-sucedida pelo ponto de registro de certificado (o módulo de política), o NDES passa a solicitação de certificado para a autoridade de certificação em nome do dispositivo.
Entradas de log que indicam êxito:
NDESPlugin log:
Verify challenge returns true Exiting VerifyRequest with 0x0
Logs do IIS:
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe ... 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 2713 1296
CertificateRegistrationPoint.svclog:
Validation Phase 1 finished with status True.
Validation Phase 3 finished with status True.
VerifyRequest Finished with status True
Quando os indicadores de sucesso não estão presentes:
Se você não vir as entradas que indicam sucesso, faça o seguinte:
Procure problemas registrados em CertificateRegistrationPoint.svclog quando o ponto de registro do certificado verificar o desafio. Procure as entradas entre as seguintes linhas:
- VerifyRequest iniciado.
- VerifyRequest Concluído com status Falso
Abra o MMC da Autoridade de Certificação na CA e selecione Solicitações com Falha para procurar erros que ajudem a identificar um problema. A imagem a seguir é um exemplo:
Examine o log de eventos do aplicativo na CA em busca de erros. Normalmente, você pode ver erros que correspondem ao que você vê nas Solicitações com falha da etapa anterior. A imagem a seguir é um exemplo:
Próximas etapas
Se o módulo de política NDES validar a solicitação e a solicitação for encaminhada para a autoridade de certificação, a próxima etapa será revisar a entrega do certificado ao dispositivo.