Поделиться через

Устранение неполадок при развертывании сертификатов PKCS в Intune

  • Статья

В этой статье приводятся рекомендации по устранению неполадок, связанных с несколькими распространенными проблемами при развертывании сертификатов стандартов шифрования открытого ключа (PKCS) в Microsoft Intune. Прежде чем устранять неполадки, убедитесь, что вы выполнили следующие задачи, как описано в разделе "Настройка и использование сертификатов PKCS" в Intune:

  • Ознакомьтесь с требованиями к использованию профилей сертификатов PKCS.
  • Экспортируйте корневой сертификат из Центра сертификации предприятия (ЦС).
  • Настройте шаблоны сертификатов в центре сертификации.
  • Установите и настройте соединитель сертификатов Intune.
  • Создайте и разверните профиль доверенного сертификата для развертывания корневого сертификата.
  • Создайте и разверните профиль сертификата PKCS.

Наиболее распространенный источник проблем для профилей сертификатов PKCS связан с настройкой профиля сертификата PKCS. Проверьте конфигурацию профилей и найдите опечатки в именах серверов или полных доменных именах (FQDN), а также подтвердите правильность имени центра сертификации и центра сертификации.

  • Центр сертификации: внутреннее полное доменное имя компьютера центра сертификации. Например, server1.domain.local.
  • Имя центра сертификации: имя центра сертификации, отображаемое в MMC центра сертификации. Просмотр в центре сертификации (локальный)

Вы можете использовать программу командной строки certutil в ЦС, чтобы подтвердить правильное имя центра сертификации и имени центра сертификации.

Общие сведения о связи PKCS

На следующем рисунке представлен базовый обзор процесса развертывания сертификата PKCS в Intune.

Снимок экрана: поток профиля сертификата PKCS.

  1. Администратор создает профиль сертификата PKCS в Intune.
  2. Служба Intune запрашивает, чтобы локальный соединитель сертификатов Intune создавал новый сертификат для пользователя.
  3. Соединитель сертификатов Intune отправляет большой двоичный объект PFX и запрос в центр сертификации Майкрософт.
  4. Центр сертификации выдает проблемы и отправляет сертификат пользователя PFX обратно в соединитель сертификатов Intune.
  5. Соединитель сертификатов Intune отправляет зашифрованный сертификат пользователя PFX в Intune.
  6. Intune расшифровывает сертификат пользователя PFX и повторно шифрует устройство с помощью сертификата Управление устройствами. Затем Intune отправляет сертификат пользователя PFX на устройство.
  7. Устройство сообщает о состоянии сертификата в Intune.

Файлы журналов

Чтобы определить проблемы для рабочего процесса подготовки общения и сертификатов, просмотрите файлы журналов как из инфраструктуры сервера, так и с устройств. В последующих разделах по устранению неполадок с профилями сертификатов PKCS приведены файлы журналов, на которые ссылается этот раздел.

Журналы устройств зависят от платформы устройств:

Журналы для локальной инфраструктуры

Локальная инфраструктура, поддерживающая использование профилей сертификатов PKCS для развертываний сертификатов, включает соединитель сертификатов Microsoft Intune и центр сертификации.

Файлы журналов для этих ролей включают Windows Просмотр событий, консоли сертификатов и различные файлы журналов, относящиеся к соединителю сертификатов Intune, или другие роли и операции, которые являются частью локальной инфраструктуры.

  • NDESConnector_date_time.svclog:

    В этом журнале показан обмен данными из соединителя сертификатов Microsoft Intune в облачную службу Intune. Средство просмотра трассировки службы можно использовать для просмотра этого файла журнала.

    Связанный раздел реестра: HKLM\SW\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

    Расположение: на сервере, на котором размещен соединитель сертификатов Intune по адресу %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs

  • Журнал приложений Windows:

    Расположение: на сервере, на котором размещен соединитель сертификатов Intune: запустите eventvwr.msc, чтобы открыть Windows Просмотр событий

Журналы для устройств Android

Для устройств под управлением Android используйте файл журнала приложений android Корпоративный портал OMADM.log. Прежде чем собирать и просматривать журналы, включите включение подробного ведения журнала , а затем воспроизвести проблему.

Сведения о сборе журналов OMADM.logs с устройства см. в разделе "Отправка и электронная почта" с помощью USB-кабеля.

Вы также можете отправлять и отправлять журналы электронной почты для поддержки .

Журналы для устройств iOS и iPadOS

Для устройств под управлением iOS/iPadOS используются журналы отладки и Xcode , которые выполняются на компьютере Mac:

  1. Подключите устройство iOS/iPadOS к Mac, а затем перейдите в служебные программы приложений>, чтобы открыть консольное приложение.

  2. В разделе "Действие" выберите "Включить сообщения сведений" и "Включить отладочные сообщения".

    Снимок экрана: выбраны параметры

  3. Воспроизводите проблему, а затем сохраните журналы в текстовый файл:

    1. Выберите "Изменить все", чтобы выбрать все сообщения на текущем экране, а затем нажмите кнопку "Изменить>>копию", чтобы скопировать сообщения в буфер обмена.
    2. Откройте приложение TextEdit, вставьте скопированные журналы в новый текстовый файл и сохраните файл.

Журнал Корпоративный портал для устройств iOS и iPadOS не содержит сведения о профилях сертификатов PKCS.

Журналы для устройств Windows

Для устройств под управлением Windows используйте журналы событий Windows для диагностики проблем регистрации или управления устройствами для устройств, управляемых с помощью Intune.

На устройстве откройте Просмотр событий> Applications и службы Журналы>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider

Снимок экрана: журналы событий Windows.

Исключения антивирусной программы

При добавлении исключений антивирусной программы на серверах, на которых размещен соединитель сертификатов Intune:

  • Запросы сертификатов достигают сервера или соединителя сертификатов Intune, но не обрабатываются успешно.
  • Сертификаты выдаются медленно

Ниже приведены примеры расположений, которые могут быть исключены.

  • %program_files%\Microsoft Intune\PfxRequest
  • %program_files%\Microsoft Intune\CertificateRequestStatus
  • %program_files%\Microsoft Intune\CertificateRevocationStatus

Распространенные ошибки

Следующие распространенные ошибки рассматриваются в следующем разделе:

Сервер RPC недоступен 0x800706ba

Во время развертывания PFX на устройстве отображается доверенный корневой сертификат, но на устройстве не отображается сертификат PFX. Файл журнала NDESConnector_date_time.svclog содержит строку , которую сервер RPC недоступен. 0x800706ba, как показано в первой строке следующего примера:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x800706BA): CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
IssuePfx -Generic Exception: System.ArgumentException: CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094800): The requested certificate template is not supported by this CA. (Exception from HRESULT: 0x80094800)

Причина 1. Неправильная конфигурация ЦС в Intune

Эта проблема может возникать, если профиль сертификата PKCS указывает неправильный сервер или содержит ошибки орфографии для имени или полного доменного имени ЦС. ЦС указывается в следующих свойствах профиля:

  • Центр сертификации
  • Имя центра сертификации

Решение.

Проверьте следующие параметры и исправьте, если они неверны.

  • Свойство центра сертификации отображает внутреннее полное доменное имя сервера ЦС.
  • В свойстве имени центра сертификации отображается имя ЦС.

Причина 2. ЦС не поддерживает продление сертификата для запросов, подписанных предыдущими сертификатами ЦС

Если полное доменное имя ЦС и имя верны в профиле сертификата PKCS, просмотрите журнал приложений Windows, который находится на сервере центра сертификации. Найдите идентификатор события 128, похожий на следующий пример:

Log Name: Application:
Source: Microsoft-Windows-CertificationAuthority
Event ID: 128
Level: Warning
Details:
An Authority Key Identifier was passed as part of the certificate request 2268. This feature has not been enabled. To enable specifying a CA key for certificate signing, run: "certutil -setreg ca\UseDefinedCACertInRequest 1" and then restart the service.

Когда сертификат ЦС продлевается, он должен подписать сертификат подписи ответа OCSP. Подписывание позволяет сертификату подписи ответа OCSP проверять другие сертификаты, проверяя их состояние отзыва. Эта подпись по умолчанию не включена.

Решение.

Принудительное подписание сертификата вручную:

  1. На сервере ЦС откройте командную строку с повышенными привилегиями и выполните следующую команду: certutil -setreg ca\UseDefinedCACertInRequest 1
  2. Перезапустите службу служб сертификатов.

После перезапуска службы служб сертификатов устройства могут получать сертификаты.

Не удается найти сервер политики регистрации 0x80094015

Сервер политики регистрации не может находиться и 0x80094015, как показано в следующем примере:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094015): An enrollment policy server cannot be located. (Exception from HRESULT: 0x80094015)

Причина— имя сервера политики регистрации сертификатов

Эта проблема возникает, если компьютер, на котором размещен соединитель сертификатов Intune, не может найти сервер политики регистрации сертификатов.

Решение.

Вручную настройте имя сервера политики регистрации сертификатов на компьютере, на котором размещен соединитель сертификатов Intune. Чтобы настроить имя, используйте командлет PowerShell Add-CertificateEnrollmentPolicyServer .

Отправка ожидается

После развертывания профиля сертификата PKCS на мобильных устройствах сертификаты не получаются, а журнал NDESConnector_date_time.svclog содержит строку ожидание отправки, как показано в следующем примере:

IssuePfx - The submission is pending: Taken Under Submission
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission is pending

Кроме того, на сервере центра сертификации можно увидеть PFX-запрос в папке "Ожидающие запросы" :

Снимок экрана: папка ожидающих запросов центра сертификации.

Причина — неправильная конфигурация обработки запросов

Эта проблема возникает, если параметр задать состояние запроса в ожидании. Администратор должен явно выдать сертификат в диалоговом окне свойств> модуля>политики политики сертификации.

Снимок экрана: свойства модуля политики.

Решение.

Измените свойства модуля политики, чтобы задать следующие параметры в шаблоне сертификата, если это применимо. В противном случае автоматически выдает сертификат.

Неверный параметр 0x80070057

Если соединитель сертификатов Intune установлен и настроен успешно, устройства не получают сертификаты PKCS, а журнал NDESConnector_date_time.svclog содержит строку , указанную неправильно. 0x80070057, как показано в следующем примере:

CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

Причина — настройка профиля PKCS

Эта проблема возникает, если профиль PKCS в Intune неправильно настроен. Ниже приведены распространенные неправильные конфигурации.

  • Профиль содержит неверное имя ЦС.
  • Альтернативное имя субъекта (SAN) настроено для адреса электронной почты, но у целевого пользователя еще нет допустимого адреса электронной почты. Это сочетание приводит к значению NULL для SAN, которое является недопустимым.

Решение.

Проверьте следующие конфигурации профиля PKCS и дождитесь обновления политики на устройстве:

  • Настроено с именем ЦС
  • Назначена правильной группе пользователей
  • Пользователи в группе имеют допустимые адреса электронной почты

Дополнительные сведения см. в разделе "Настройка и использование сертификатов PKCS" в Intune.

Отказано в модуле политики

Когда устройства получают доверенный корневой сертификат, но не получают PFX-сертификат и журнал NDESConnector_date_time.svclog содержит строку ", в которой не удалось выполнить отправку: отказано в модуле политики, как показано в следующем примере:

IssuePfx - The submission failed: Denied by Policy Module
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission failed
   at Microsoft.Management.Services.NdesConnector.MicrosoftCA.GetCertificate(PfxRequestDataStorage pfxRequestData, String containerName, String& certificate, String& password)
Issuing Pfx certificate for Device ID <Device ID> failed

Причина — разрешения учетной записи компьютера для шаблона сертификата

Эта проблема возникает, когда учетная запись компьютера сервера, на котором размещен соединитель сертификатов Intune, не имеет разрешений на шаблон сертификата.

Решение.

  1. Войдите в корпоративный ЦС с учетной записью с правами администратора.
  2. Откройте консоль центра сертификации, щелкните правой кнопкой мыши шаблоны сертификатов и выберите пункт "Управление".
  3. Найдите шаблон сертификата и откройте диалоговое окно "Свойства " шаблона.
  4. Выберите вкладку "Безопасность" и добавьте учетную запись компьютера для сервера, на котором установлен соединитель сертификатов Microsoft Intune. Предоставьте учетным записям разрешения на чтение и регистрацию .
  5. Нажмите кнопку "Применить>ОК", чтобы сохранить шаблон сертификата, а затем закройте консоль шаблонов сертификатов.
  6. В консоли центра сертификации щелкните правой кнопкой мыши шаблоны сертификатов>, чтобы создать>шаблон сертификата для проблемы.
  7. Выберите измененный шаблон и нажмите кнопку "ОК".

Дополнительные сведения см. в разделе "Настройка шаблонов сертификатов" в ЦС.

Профиль сертификата завис в качестве ожидающего

В Центре администрирования Microsoft Intune профили сертификатов PKCS не могут развертываться с состоянием ожидания. В файле журнала NDESConnector_date_time.svclog нет очевидных ошибок. Так как причина этой проблемы не определена четко в журналах, ознакомьтесь со следующими причинами.

Причина 1. Необработанные файлы запросов

Просмотрите файлы запросов для ошибок, указывающих, почему они не были обработаны.

  1. На сервере, на котором размещен соединитель сертификатов Intune, используйте проводник для перехода к %programfiles%\Microsoft Intune\PfxRequest.

  2. Просмотрите файлы в папках "Сбой" и "Обработка" с помощью избранного текстового редактора.

    Снимок экрана: папка PfxRequest.

  3. В этих файлах найдите записи, которые указывают на ошибки или предлагают проблемы. Используя веб-поиск, просмотрите сообщения об ошибках, чтобы узнать, почему запрос не удалось обработать, а также решения этих проблем.

Причина 2. Неправильное настройка профиля сертификата PKCS

Если вы не найдете файлы запросов в папках failed, Processing или Succeed , причиной может быть то, что неправильный сертификат связан с профилем сертификата PKCS. Например, подчиненный ЦС связан с профилем или используется неправильный корневой сертификат.

Решение.

  1. Просмотрите профиль доверенного сертификата, чтобы убедиться, что вы развернули корневой сертификат из корпоративного ЦС на устройствах.
  2. Просмотрите профиль сертификата PKCS, чтобы убедиться, что он ссылается на правильный ЦС, тип сертификата и профиль доверенного сертификата, который развертывает корневой сертификат на устройствах.

Дополнительные сведения см. в статье "Использование сертификатов для проверки подлинности в Microsoft Intune".

Ошибка -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

Не удается развернуть сертификаты PKCS, а консоль сертификатов в выдаваемом ЦС отображает сообщение со строкой -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED, как показано в следующем примере:

Active Directory Certificate Services denied request abc123 because The Email name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). The request was for CN=" Common Name".  Additional information: Denied by Policy Module".

Причина: "Предложение в запросе" неправильно настроено

Эта проблема возникает, если параметр "Предложение" в параметре запроса не включен на вкладке "Имя субъекта" в диалоговом окне "Свойства шаблона сертификата".

Снимок экрана: свойства NDES, где выделен параметр

Решение.

Измените шаблон, чтобы устранить проблему конфигурации:

  1. Войдите в корпоративный ЦС с учетной записью с правами администратора.
  2. Откройте консоль центра сертификации, щелкните правой кнопкой мыши шаблоны сертификатов и выберите пункт "Управление".
  3. Откройте диалоговое окно "Свойства" шаблона сертификата.
  4. На вкладке "Имя субъекта" выберите "Указать" в запросе.
  5. Нажмите кнопку "ОК ", чтобы сохранить шаблон сертификата, а затем закройте консоль шаблонов сертификатов .
  6. В консоли центра сертификации и щелкните правой кнопкой мыши шаблоны>создать>шаблон сертификата для проблемы.
  7. Выберите измененный шаблон и нажмите кнопку "ОК".