Устранение неполадок доставки сертификатов, подготовленных SCEP на устройства в Microsoft Intune
В этой статье приводятся рекомендации по устранению неполадок, которые помогут вам изучить доставку сертификатов на устройства при использовании протокола SCEP для подготовки сертификатов в Intune. После того как сервер службы регистрации сетевых устройств (NDES) получает запрошенный сертификат для устройства из центра сертификации (ЦС), он передает этот сертификат обратно на устройство.
Эта статья относится к шагу 5 рабочего процесса обмена данными SCEP; доставке сертификата на устройство, отправив запрос на сертификат.
Проверка центра сертификации
Когда ЦС выдал сертификат, вы увидите запись, аналогичную следующему примеру в ЦС:
Проверка устройства
Android
Для зарегистрированных устройств администратор устройства появится уведомление, аналогичное следующему изображению, в котором показано, как установить сертификат:
Для Android Enterprise или Samsung Knox установка сертификата выполняется автоматически и автоматически.
Чтобы просмотреть установленный сертификат в Android, используйте стороннее приложение для просмотра сертификатов.
Вы также можете просмотреть журнал OMADM устройств. Найдите записи, похожие на следующие примеры, которые регистрируются при установке сертификатов:
Корневой сертификат.
2018-02-27T04:50:52.1890000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine 9595 9 Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALL_REQUESTED
2018-02-27T04:53:31.1300000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine 9595 0 Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T04:53:32.0390000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine 9595 14 Root cert '17…' state changed from CERT_INSTALLING to CERT_INSTALL_SUCCESS
Сертификат, подготовленный с помощью SCEP
2018-02-27T05:16:08.2500000 VERB Event com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager 18327 10 There are 1 requests
2018-02-27T05:16:08.2500000 VERB Event com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager 18327 10 Trying to enroll certificate request: ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787
2018-02-27T05:16:20.6150000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:20.6530000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Received '200 OK' when sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:21.7460000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.7890000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Received '200 OK' when sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:28.0340000 VERB Event org.jscep.transaction.EnrollmentTransaction 18327 10 Response: org.jscep.message.CertRep@3150777b[failInfo=<null>,pkiStatus=SUCCESS,recipientNonce=Nonce [GUID],messageData=org.spongycastle.cms.CMSSignedData@27cc8998,messageType=CERT_REP,senderNonce=Nonce [GUID],transId=TRANSID]
2018-02-27T05:16:28.2440000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine 18327 10 SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ENROLLED to CERT_INSTALL_REQUESTED
2018-02-27T05:18:44.9820000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine 18327 0 SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T05:18:45.3460000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine 18327 14 SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALLING to CERT_ACCESS_REQUESTED
2018-02-27T05:20:15.3520000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine 18327 21 SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ACCESS_REQUESTED to CERT_ACCESS_GRANTED
iOS/iPadOS
На устройстве iOS/iPadOS или iPadOS можно просмотреть сертификат в разделе "Профиль Управление устройствами". Подробные сведения об установленных сертификатах.
Вы также можете найти записи, похожие на следующие в журнале отладки iOS:
Debug 18:30:53.691033 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\
Debug 18:30:54.640644 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\
Debug 18:30:55.487908 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgMFADCABgkqhkiG9w0BBwGggCSABIIZfzCABgkqhkiG9w0BBwOggDCAAgEAMYIBgjCCAX4CAQAwZjBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxHDAaBgoJkiaJk/IsZAEZFgxmb3VydGhjb2ZmZWUxGDAWBgNVBAMTD0ZvdXJ0aENvZmZlZSBDQQITaAAAAAmaneVjEPlcTwAAAAAACTANBgkqhkiG9w0BAQEFAASCAQCqfsOYpuBToerQLkw/tl4tH9E+97TBTjGQN9NCjSgb78fF6edY0pNDU+PH4RB356wv3rfZi5IiNrVu5Od4k6uK4w0582ZM2n8NJFRY7KWSNHsmTIWlo/Vcr4laAtq5rw+CygaYcefptcaamkjdLj07e/Uk4KsetGo7ztPVjSEFwfRIfKv474dLDmPqp0ZwEWRQG
Debug 18:30:57.285730 -0500 profiled Adding dependent Microsoft.Profiles.MDM to parent www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 in domain ManagedProfileToManagingProfile to system\
Default 18:30:57.320616 -0500 profiled Profile \'93www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295\'94 installed.\
Windows
На устройстве Windows убедитесь, что сертификат доставлен:
Запустите eventvwr.msc, чтобы открыть Просмотр событий. Перейдите в журналы>приложений и служб Microsoft>>Windows DeviceManagement-Enterprise-Diagnostic-Provider> и найдите событие 39. Это событие должно иметь общее описание: SCEP: сертификат установлен успешно.
Чтобы просмотреть сертификат на устройстве, запустите certmgr.msc, чтобы открыть MMC сертификатов сертификатов и убедиться, что корневые и SCEP-сертификаты установлены правильно на устройстве в личном хранилище:
- Перейдите к сертификатам (локальным компьютерам)> доверенных корневых центров> сертификации и убедитесь, что корневой сертификат из ЦС присутствует. Значения для выданного и выданного пользователя будут одинаковыми.
- В MMC сертификатов перейдите к сертификатам — личные>сертификаты текущего пользователя>и убедитесь, что запрошенный сертификат присутствует, с выданным по имени ЦС.
Устранение ошибок
Android
Чтобы устранить неполадки с доставкой сертификатов, просмотрите ошибки, зарегистрированные в журнале интеллектуального анализа данных OMA.
iOS/iPadOS
Чтобы устранить неполадки доставки сертификатов, просмотрите ошибки, зарегистрированные в журнале отладки устройств.
Windows
Чтобы устранить проблемы с сертификатом, не установленным на устройстве, просмотрите журнал событий Windows для ошибок, которые предлагают следующие проблемы:
- На устройстве запустите eventvwr.msc, чтобы открыть Просмотр событий, а затем перейдите к журналам>приложений и служб Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider.>
Ошибки с доставкой и установкой сертификата на устройство обычно связаны с операциями Windows, а не с Intune.
Следующие шаги
Если сертификат успешно развертывается на устройстве, но Intune не сообщает об успешном выполнении, см . отчеты NDES в Intune для устранения неполадок с отчетами.