Felsöka PKCS-certifikatdistribution i Intune

Den här artikeln innehåller felsökningsvägledning för flera vanliga problem när du distribuerar PKCS-certifikat (Public Key Cryptography Standards) i Microsoft Intune. Kontrollera att du har slutfört följande uppgifter innan du felsöker, enligt beskrivningen i Konfigurera och använda PKCS-certifikat med Intune:

• Granska kraven för att använda PKCS-certifikatprofiler.
• Exportera rotcertifikatet från enterprise-certifikatutfärdare (CA).
• Konfigurera certifikatmallar på certifikatutfärdare.
• Installera och konfigurera Intune Certificate Connector.
• Skapa och distribuera en betrodd certifikatprofil för att distribuera rotcertifikatet.
• Skapa och distribuera en PKCS-certifikatprofil.

Den vanligaste orsaken till problem för PKCS-certifikatprofiler har varit konfigurationen av PKCS-certifikatprofilen. Granska profilkonfigurationen och leta efter stavfel i servernamn eller fullständigt kvalificerade domännamn (FQDN) och bekräfta att certifikatutfärdaren och certifikatutfärdarens namn är korrekta.

• Certifikatutfärdare: Det interna fullständiga domännamnet för certifikatutfärdarens dator. Till exempel server1.domain.local.
• Certifikatutfärdarnamn: Certifikatutfärdarnamnet som visas i certifikatutfärdar-MMC. Titta under Certifikatutfärdare (lokal)

Du kan använda kommandoradsprogrammet certutil på certifikatutfärdare för att bekräfta rätt namn för certifikatutfärdare och certifikatutfärdarnamn.

Översikt över PKCS-kommunikation

Följande bild ger en grundläggande översikt över distributionsprocessen för PKCS-certifikat i Intune.

1. En administratör skapar en PKCS-certifikatprofil i Intune.
2. Intune-tjänsten begär att den lokala Intune Certificate Connector ska skapa ett nytt certifikat för användaren.
3. Intune Certificate Connector skickar en PFX-blob och begäran till din Microsoft-certifikatutfärdare.
4. Certifikatutfärdare utfärdar problem och skickar tillbaka PFX-användarcertifikatet till Intune Certificate Connector.
5. Intune Certificate Connector laddar upp det krypterade PFX-användarcertifikatet till Intune.
6. Intune dekrypterar PFX-användarcertifikatet och krypterar om enheten med hjälp av Enhetshantering-certifikatet. Intune skickar sedan PFX-användarcertifikatet till enheten.
7. Enheten rapporterar certifikatstatusen till Intune.

Loggfiler

Om du vill identifiera problem med arbetsflödet för kommunikation och certifikatetablering granskar du loggfiler från både serverinfrastrukturen och från enheter. Senare avsnitt för felsökning av PKCS-certifikatprofiler finns i loggfiler som refereras i det här avsnittet.

• Infrastruktur- och serverloggar

Enhetsloggar är beroende av enhetsplattformen:

• iOS och iPadOS
• Android
• Windows

Loggar för lokal infrastruktur

Lokal infrastruktur som stöder användning av PKCS-certifikatprofiler för certifikatdistributioner omfattar Microsoft Intune Certificate Connector och certifikatutfärdare.

Loggfiler för dessa roller omfattar Windows Loggboken, certifikatkonsoler och olika loggfiler som är specifika för Intune Certificate Connector eller andra roller och åtgärder som ingår i den lokala infrastrukturen.

• NDESConnector_date_time.svclog:

  Den här loggen visar kommunikation från Microsoft Intune Certificate Connector till Intune-molntjänsten. Du kan använda visningsverktyget för tjänstspårning för att visa loggfilen.

  Relaterad registernyckel: HKLM\SW\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

  Plats: På den server som är värd för Intune Certificate Connector på %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs

• Windows-programlogg:

  Plats: På den server som är värd för Intune Certificate Connector: Kör eventvwr.msc för att öppna Windows Loggboken

Loggar för Android-enheter

För enheter som kör Android använder du android-Företagsportal apploggfilen OMADM.log. Innan du samlar in och granskar loggar aktiverar du kontrollera att Utförlig loggning är aktiverat och återskapa sedan problemet.

Information om hur du samlar in OMADM.logs från en enhet finns i Ladda upp och skicka loggar via e-post med hjälp av en USB-kabel.

Du kan också ladda upp och skicka loggar till support.

Loggar för iOS- och iPadOS-enheter

För enheter som kör iOS/iPadOS använder du felsökningsloggar och Xcode som körs på en Mac-dator:

1. Anslut iOS/iPadOS-enheten till Mac och gå sedan till Programverktyg> för att öppna konsolappen.

2. Under Åtgärd väljer du Inkludera informationsmeddelanden och Inkludera felsökningsmeddelanden.

   

3. Återskapa problemet och spara sedan loggarna i en textfil:

   1. Välj Redigera>Markera alla för att markera alla meddelanden på den aktuella skärmen och välj sedan Redigera>kopia för att kopiera meddelandena till Urklipp.
   2. Öppna TextEdit-programmet, klistra in de kopierade loggarna i en ny textfil och spara sedan filen.

Den Företagsportal loggen för iOS- och iPadOS-enheter innehåller inte information om PKCS-certifikatprofiler.

Loggar för Windows-enheter

För enheter som kör Windows använder du Windows-händelseloggarna för att diagnostisera problem med registrering eller enhetshantering för enheter som du hanterar med Intune.

Öppna Loggboken> Program- och tjänstloggar>på enheten Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider

Antivirusundantag

Överväg att lägga till antivirusundantag på servrar som är värdar för Intune Certificate Connector när:

• Certifikatbegäranden når servern eller Intune Certificate Connector, men bearbetas inte
• Certifikat utfärdas långsamt

Följande är exempel på platser som du kan exkludera:

• %program_files%\Microsoft Intune\PfxRequest
• %program_files%\Microsoft Intune\CertificateRequestStatus
• %program_files%\Microsoft Intune\CertificateRevocationStatus

Vanliga fel

Följande vanliga fel åtgärdas i följande avsnitt:

• RPC-servern är inte tillgänglig 0x800706ba
• Det går inte att hitta en registreringsprincipserver 0x80094015
• Insändningen väntar
• Parametern är felaktig 0x80070057
• Nekad av principmodul
• Certifikatprofilen har fastnat som väntande
• Fel – 2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

RPC-servern är inte tillgänglig 0x800706ba

Under PFX-distributionen visas det betrodda rotcertifikatet på enheten, men PFX-certifikatet visas inte på enheten. Loggfilen NDESConnector_date_time.svclog innehåller strängen RPC-servern är inte tillgänglig. 0x800706ba, vilket visas på den första raden i följande exempel:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x800706BA): CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
IssuePfx -Generic Exception: System.ArgumentException: CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094800): The requested certificate template is not supported by this CA. (Exception from HRESULT: 0x80094800)

Orsak 1 – Felaktig konfiguration av ca:en i Intune

Det här problemet kan inträffa när PKCS-certifikatprofilen anger fel server eller innehåller stavfel för certifikatutfärdarens namn eller FQDN. Ca:en anges i följande egenskaper för profilen:

• Certifikatutfärdare
• Certifikatutfärdarnamn

Lösning:

Granska följande inställningar och åtgärda om de är felaktiga:

• Egenskapen Certifikatutfärdare visar det interna fullständiga domännamnet för din CA-server.
• Egenskapen Certifikatutfärdares namn visar namnet på certifikatutfärdare.

Orsak 2 – CA stöder inte certifikatförnyelse för begäranden som signerats av tidigare CA-certifikat

Om CA FQDN och namnet är korrekta i PKCS-certifikatprofilen granskar du Windows-programloggen som finns på certifikatutfärdarservern. Leta efter ett händelse-ID 128 som liknar följande exempel:

Log Name: Application:
Source: Microsoft-Windows-CertificationAuthority
Event ID: 128
Level: Warning
Details:
An Authority Key Identifier was passed as part of the certificate request 2268. This feature has not been enabled. To enable specifying a CA key for certificate signing, run: "certutil -setreg ca\UseDefinedCACertInRequest 1" and then restart the service.

När CA-certifikatet förnyas måste det signera OCSP-svarssigneringscertifikatet (Online Certificate Status Protocol). Signering gör det möjligt för OCSP-svarssigneringscertifikatet att verifiera andra certifikat genom att kontrollera deras återkallningsstatus. Den här signeringen är inte aktiverad som standard.

Lösning:

Framtvinga signering av certifikatet manuellt:

1. Öppna en upphöjd kommandotolk på CA-servern och kör följande kommando: certutil -setreg ca\UseDefinedCACertInRequest 1
2. Starta om certificate services-tjänsten.

När certificate services-tjänsten har startats om kan enheter ta emot certifikat.

Det går inte att hitta en registreringsprincipserver 0x80094015

Det går inte att hitta en registreringsprincipserver och 0x80094015, som du ser i följande exempel:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094015): An enrollment policy server cannot be located. (Exception from HRESULT: 0x80094015)

Orsak – Servernamn för certifikatregistreringsprincip

Det här problemet uppstår om datorn som är värd för Intune Certificate Connector inte kan hitta en principserver för certifikatregistrering.

Lösning:

Konfigurera namnet på principservern för certifikatregistrering manuellt på den dator som är värd för Intune Certificate Connector. Om du vill konfigurera namnet använder du PowerShell-cmdleten Add-CertificateEnrollmentPolicyServer .

Insändningen väntar

När du har distribuerat en PKCS-certifikatprofil till mobila enheter hämtas inte certifikaten och loggen NDESConnector_date_time.svclog innehåller strängen Sändningen väntar, enligt följande exempel:

IssuePfx - The submission is pending: Taken Under Submission
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission is pending

På certifikatutfärdarservern kan du dessutom se PFX-begäran i mappen Väntande begäranden :

Orsak – Felaktig konfiguration för hantering av begäranden

Det här problemet uppstår om alternativet Ange status för begäran till väntande. Administratören måste uttryckligen utfärda certifikatet är markerat i dialogrutan Egenskaper>för principmodulegenskaper> för certifikatutfärdare.

Lösning:

Redigera egenskaperna för principmodulen som ska anges: Följ inställningarna i certifikatmallen, om tillämpligt. Annars utfärdar du certifikatet automatiskt.

Parametern är felaktig 0x80070057

När Intune Certificate Connector har installerats och konfigurerats tar enheterna inte emot PKCS-certifikat och loggen NDESConnector_date_time.svclog innehåller strängen Parametern är felaktig. 0x80070057, vilket visas i följande exempel:

CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

Orsak – Konfiguration av PKCS-profilen

Det här problemet uppstår om PKCS-profilen i Intune är felkonfigurerad. Följande är vanliga felkonfigurationer:

• Profilen innehåller ett felaktigt namn på certifikatmottagaren.
• Alternativt namn på certifikatmottagare (SAN) har konfigurerats för e-postadress, men målanvändaren har ännu ingen giltig e-postadress. Den här kombinationen resulterar i ett null-värde för SAN, vilket är ogiltigt.

Lösning:

Kontrollera följande konfigurationer för PKCS-profilen och vänta sedan på att principen uppdateras på enheten:

• Konfigurerad med namnet på certifikatmottagaren
• Tilldelad till rätt användargrupp
• Användare i gruppen har giltiga e-postadresser

Mer information finns i Konfigurera och använda PKCS-certifikat med Intune.

Nekad av principmodul

När enheter tar emot det betrodda rotcertifikatet men inte tar emot PFX-certifikatet och loggen NDESConnector_date_time.svclog innehåller strängen Det gick inte att skicka in: Nekad av principmodulen, enligt följande exempel:

IssuePfx - The submission failed: Denied by Policy Module
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission failed
   at Microsoft.Management.Services.NdesConnector.MicrosoftCA.GetCertificate(PfxRequestDataStorage pfxRequestData, String containerName, String& certificate, String& password)
Issuing Pfx certificate for Device ID <Device ID> failed  

Orsak – Datorkontobehörigheter till certifikatmallen

Det här problemet uppstår när datorkontot för servern som är värd för Intune Certificate Connector inte har behörighet till certifikatmallen.

Lösning:

1. Logga in på din Enterprise CA med ett konto som har administratörsbehörighet.
2. Öppna konsolen Certifikatutfärdare, högerklicka på Certifikatmallar och välj Hantera.
3. Leta upp certifikatmallen och öppna dialogrutan Egenskaper för mallen.
4. Välj fliken Säkerhet och lägg till datorkontot för servern där du installerade Microsoft Intune Certificate Connector. Bevilja kontot läs- och registreringsbehörigheter.
5. Välj Använd>OK för att spara certifikatmallen och stäng sedan konsolen Certifikatmallar .
6. I konsolen Certifikatutfärdare högerklickar du på Certifikatmallar>Ny>certifikatmall att utfärda.
7. Välj den mall som du ändrade och klicka sedan på OK.

Mer information finns i Konfigurera certifikatmallar på certifikatutfärdare.

Certifikatprofilen har fastnat som väntande

I administrationscentret för Microsoft Intune kan PKCS-certifikatprofiler inte distribueras med tillståndet Väntar. Det finns inga uppenbara fel i loggfilen NDESConnector_date_time.svclog. Eftersom orsaken till det här problemet inte identifieras tydligt i loggarna kan du gå igenom följande orsaker.

Orsak 1 – Obearbetade begärandefiler

Granska begärandefilerna efter fel som anger varför de inte kunde bearbetas.

1. På den server som är värd för Intune Certificate Connector använder du Utforskaren för att navigera till %programfiles%\Microsoft Intune\PfxRequest.

2. Granska filer i mapparna Misslyckades och Bearbeta med hjälp av din favorittextredigerare.

   

3. I de här filerna letar du efter poster som indikerar fel eller föreslår problem. Med hjälp av en webbaserad sökning letar du upp felmeddelandena efter ledtrådar om varför begäran inte kunde bearbetas och efter lösningar på dessa problem.

Orsak 2 – Felkonfiguration för PKCS-certifikatprofilen

När du inte hittar begärandefiler i mapparna Failed, Processing eller Succeed kan orsaken vara att fel certifikat är associerat med PKCS-certifikatprofilen. En underordnad certifikatutfärdare är till exempel associerad med profilen, eller så används fel rotcertifikat.

Lösning:

1. Granska din betrodda certifikatprofil för att se till att du har distribuerat rotcertifikatet från din företagscertifikatutfärdare till enheter.
2. Granska PKCS-certifikatprofilen för att se till att den refererar till rätt certifikatutfärdare, certifikattyp och den betrodda certifikatprofil som distribuerar rotcertifikatet till enheter.

Mer information finns i Använda certifikat för autentisering i Microsoft Intune.

Fel – 2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

PKCS-certifikat kan inte distribueras, och certifikatkonsolen på den utfärdande certifikatutfärdare visar ett meddelande med strängen -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED, enligt följande exempel:

Active Directory Certificate Services denied request abc123 because The Email name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). The request was for CN=" Common Name".  Additional information: Denied by Policy Module".

Orsak – "Leveransen i begäran" är felkonfigurerad

Det här problemet uppstår om alternativet Leverans i begäran inte är aktiverat på fliken Ämnesnamn i dialogrutan Egenskaper för certifikatmall.

Lösning:

Redigera mallen för att lösa konfigurationsproblemet:

1. Logga in på din Enterprise CA med ett konto som har administratörsbehörighet.
2. Öppna konsolen Certifikatutfärdare, högerklicka på Certifikatmallar och välj Hantera.
3. Öppna dialogrutan Egenskaper för certifikatmallen.
4. På fliken Ämnesnamn väljer du Ange i begäran.
5. Välj OK för att spara certifikatmallen och stäng sedan konsolen Certifikatmallar .
6. I konsolen Certifikatutfärdare högerklickar du på Mallar Ny>certifikatmall som ska utfärdas>.
7. Välj den mall som du ändrade och välj sedan OK.