Freigeben über

Android-Gerät fehlt ein erforderliches Zertifikat

  • Artikel

Wenn ein Benutzer versucht, sich bei der Unternehmensportal-App auf Microsoft Intune verwalteten Android-Gerät anzumelden, erhält er die Fehlermeldung "Sie können sich nicht anmelden, weil auf Ihrem Gerät ein erforderliches Zertifikat fehlt."

Ursache

Auf dem Gerät des Benutzers fehlt ein Zertifikat oder Zwischenzertifikat, das für die Registrierung erforderlich ist, oder ein Zertifikat wurde nicht ordnungsgemäß installiert. Fahren Sie mit den folgenden Abschnitten fort, um das Problem zu diagnostizieren und zu beheben.

Lösung 1

Der Benutzer kann möglicherweise das fehlende Zertifikat abrufen. Bitten Sie den Benutzer, die Schritte unter Install missing certificate required by your organization auszuführen. Wenn der Fehler weiterhin auftritt, fahren Sie mit Lösung 2 fort.

Lösung 2

Nachdem sie ihre Unternehmensanmeldeinformationen eingegeben und für die Verbundanmeldung umgeleitet wurden, wird benutzern möglicherweise weiterhin der Fehler des fehlenden Zertifikats angezeigt. In diesem Fall kann der Fehler bedeuten, dass auf Ihrem Active Directory-Verbunddienste (AD FS) -Server (AD FS) ein Zwischenzertifikat fehlt.

Der Zertifikatfehler tritt auf, weil Android-Geräte Zwischenzertifikate in einem SSL-Server hello enthalten müssen. Derzeit sendet eine Standardinstallation von AD FS-Server oder WAP - AD FS-Proxyservern nur das AD FS-Dienst-SSL-Zertifikat in der Hello-Antwort des SSL-Servers an ein SSL-Client hello.

Um das Problem zu beheben, importieren Sie die Zertifikate wie folgt in die Computer Persönliche Zertifikate auf dem AD FS-Server oder proxys:

  1. Klicken Sie auf den AD FS- und Proxyservern mit der rechten Maustaste auf Ausführenvon>certlm.mscstarten>, um die Zertifikatverwaltungskonsole für den lokalen Computer zu starten.
  2. Erweitern Sie Persönlich , und wählen Sie Zertifikate aus.
  3. Suchen Sie das Zertifikat für ihre AD FS-Dienstkommunikation (ein öffentlich signiertes Zertifikat), und doppelklicken Sie, um seine Eigenschaften anzuzeigen.
  4. Wählen Sie die Registerkarte Zertifizierungspfad aus, um die übergeordneten Zertifikate des Zertifikats anzuzeigen.
  5. Wählen Sie für jedes übergeordnete Zertifikat Zertifikat anzeigen aus.
  6. Wählen Sie Details>In Datei kopieren... aus.
  7. Befolgen Sie die Anweisungen des Assistenten, um den öffentlichen Schlüssel des übergeordneten Zertifikats an den Dateispeicherort Ihrer Wahl zu exportieren oder zu speichern.
  8. Klicken Sie mit der rechten Maustaste auf Zertifikate>Alle Aufgaben>importieren.
  9. Folgen Sie den Anweisungen des Assistenten, um die übergeordneten Zertifikate in Local Computer\Personal\Certificates zu importieren.
  10. Starten Sie die AD FS-Server neu.
  11. Wiederholen Sie die oben genannten Schritte auf allen AD FS- und Proxyservern.

Überprüfen, ob das Zertifikat ordnungsgemäß installiert ist

Die folgenden Schritte beschreiben nur eine von vielen Methoden und Tools, mit denen Sie überprüfen können, ob das Zertifikat ordnungsgemäß installiert wurde.

  1. Wechseln Sie zum kostenlosen Digicert-Tool.
  2. Geben Sie im Feld Serveradresse den vollqualifizierten Domänennamen Ihres AD FS-Servers ein (z. B sts.contoso.com. ), und wählen Sie SERVER ÜBERPRÜFEN aus.

Wenn das Serverzertifikat ordnungsgemäß installiert ist, werden in den Ergebnissen alle Häkchen angezeigt. Wenn das obige Problem besteht, wird in den Abschnitten Zertifikatname entspricht ein rotes X angezeigt, und das SSL-Zertifikat ist ordnungsgemäß installiert .

Lösung 3

Die Benutzer können sich nicht in Unternehmensportal authentifizieren, aber sie können sich in Microsoft Authenticator und Webbrowsern authentifizieren. Dieses Problem tritt auf, wenn Ihr AD FS-Server ein Benutzerzertifikat anstelle eines Zertifikats verwendet, das von einer öffentlichen Zertifizierungsstelle (Ca) ausgestellt wurde.

Auf Android-Geräten gibt es zwei Zertifikatspeicher:

  • Der Benutzerzertifikatspeicher
  • Der Systemzertifikatspeicher

In Android 7.0 ignorieren Apps Benutzerzertifikate standardmäßig, es sei denn, die Apps melden sich explizit an. Weitere Informationen finden Sie unter Änderungen an vertrauenswürdigen Zertifizierungsstellen in Android Nougat.

Um dieses Problem zu beheben, verwenden Sie ein Zertifikat, das mit einer öffentlich vertrauenswürdigen Stammzertifizierungsstelle auf Ihrem AD FS-Server verkettet ist. Eine Liste der öffentlichen Zertifizierungsstellen unter Android finden Sie unter https://android.googlesource.com/platform/system/ca-certificates/+/master/files/.