Problembehandlung bei der BEREITSTELLUNG von PKCS-Zertifikaten in Intune

  • Artikel

Dieser Artikel enthält Anleitungen zur Problembehandlung für mehrere häufige Probleme bei der Bereitstellung von PKCS-Zertifikaten (Public Key Cryptography Standards) in Microsoft Intune. Stellen Sie vor der Problembehandlung sicher, dass Sie die folgenden Aufgaben ausgeführt haben, wie unter Konfigurieren und Verwenden von PKCS-Zertifikaten mit Intune erläutert:

  • Überprüfen Sie die Anforderungen für die Verwendung von PKCS-Zertifikatprofilen.
  • Exportieren Sie das Stammzertifikat von der Unternehmenszertifizierungsstelle (Ca).
  • Konfigurieren Sie Zertifikatvorlagen für die Zertifizierungsstelle.
  • Installieren und konfigurieren Sie den Intune Certificate Connector.
  • Erstellen Sie ein vertrauenswürdiges Zertifikatprofil, und stellen Sie es bereit, um das Stammzertifikat bereitzustellen.
  • Erstellen sie ein PKCS-Zertifikatprofil, und stellen Sie es bereit.

Die häufigste Problemquelle für PKCS-Zertifikatprofile war die Konfiguration des PKCS-Zertifikatprofils. Überprüfen Sie die Konfiguration der Profile, suchen Sie nach Tippfehlern in Servernamen oder vollqualifizierten Domänennamen (FQDNs), und vergewissern Sie sich, dass der Name der Zertifizierungsstelle und der Zertifizierungsstelle korrekt sind.

  • Zertifizierungsstelle: Der interne FQDN des Computers der Zertifizierungsstelle. Beispiel: server1.domain.local.
  • Name der Zertifizierungsstelle: Der Name der Zertifizierungsstelle, wie in der MMC der Zertifizierungsstelle angezeigt. Suchen Sie unter Zertifizierungsstelle (lokal)

Sie können das Befehlszeilenprogramm certutil auf der Zertifizierungsstelle verwenden, um den richtigen Namen für die Zertifizierungsstelle und den Namen der Zertifizierungsstelle zu bestätigen.

Übersicht über die PKCS-Kommunikation

Die folgende Grafik bietet eine grundlegende Übersicht über den PKCS-Zertifikatbereitstellungsprozess in Intune.

Screenshot des PKCS-Zertifikatprofilablaufs.

  1. Ein Admin erstellt ein PKCS-Zertifikatprofil in Intune.
  2. Der Intune-Dienst fordert an, dass der lokale Intune Certificate Connector ein neues Zertifikat für den Benutzer erstellt.
  3. Der Intune Certificate Connector sendet ein PFX-Blob und eine Anforderung an Ihre Microsoft Certification Authority.
  4. Die Zertifizierungsstelle stellt das PFX-Benutzerzertifikat aus und sendet es an den Intune Certificate Connector zurück.
  5. Der Intune Certificate Connector lädt das verschlüsselte PFX-Benutzerzertifikat in Intune hoch.
  6. Intune entschlüsselt das PFX-Benutzerzertifikat und verschlüsselt es für das Gerät mithilfe des Geräteverwaltung-Zertifikats erneut. Intune sendet dann das PFX-Benutzerzertifikat an das Gerät.
  7. Das Gerät meldet das zertifikat status an Intune.

Protokolldateien

Um Probleme mit dem Kommunikations- und Zertifikatbereitstellungsworkflow zu identifizieren, überprüfen Sie Protokolldateien sowohl von der Serverinfrastruktur als auch von Geräten. In späteren Abschnitten zur Problembehandlung von PKCS-Zertifikatprofilen wird auf Protokolldateien verwiesen, auf die in diesem Abschnitt verwiesen wird.

Geräteprotokolle hängen von der Geräteplattform ab:

Protokolle für die lokale Infrastruktur

Die lokale Infrastruktur, die die Verwendung von PKCS-Zertifikatprofilen für Zertifikatbereitstellungen unterstützt, umfasst den Microsoft Intune Certificate Connector und die Zertifizierungsstelle.

Protokolldateien für diese Rollen umfassen Windows Ereignisanzeige, Zertifikatkonsolen und verschiedene Protokolldateien, die für den Intune Certificate Connector spezifisch sind, oder andere Rollen und Vorgänge, die Teil der lokalen Infrastruktur sind.

  • NDESConnector_date_time.svclog:

    Dieses Protokoll zeigt die Kommunikation zwischen dem Microsoft Intune Certificate Connector und dem Intune Clouddienst. Sie können das Service Trace Viewer-Tool verwenden, um diese Protokolldatei anzuzeigen.

    Zugehöriger Registrierungsschlüssel: HKLM\SW\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

    Speicherort: Auf dem Server, der den Intune Certificate Connector unter %program_files%\Microsoft intune hostet,\ndesconnectorsvc\logs\logs

  • Windows-Anwendungsprotokoll:

    Speicherort: Auf dem Server, der den Intune Certificate Connector hostet: Führen Sie eventvwr.msc aus, um Windows Ereignisanzeige

Protokolle für Android-Geräte

Verwenden Sie für Geräte, auf denen Android ausgeführt wird, die Protokolldatei android Unternehmensportal App OMADM.log. Bevor Sie Protokolle sammeln und überprüfen, müssen Sie sicherstellen, dass die ausführliche Protokollierung aktiviert ist, und reproduzieren Sie dann das Problem.

Informationen zum Sammeln von OMADM.logs von einem Gerät finden Sie unter Hochladen und Senden von Protokollen per USB-Kabel.

Zur Unterstützung können Sie auch Protokolle hochladen und per E-Mail senden .

Protokolle für iOS- und iPadOS-Geräte

Für Geräte mit iOS/iPadOS verwenden Sie Debugprotokolle und Xcode , die auf einem Mac-Computer ausgeführt werden:

  1. Verbinden Sie das iOS/iPadOS-Gerät mit dem Mac, und wechseln Sie dann zuAnwendungshilfsprogramme>, um die Konsolen-App zu öffnen.

  2. Wählen Sie unter Aktiondie Option Infomeldungen einschließen und Debugnachrichten einschließen aus.

    Screenshot: Optionen

  3. Reproduzieren Sie das Problem, und speichern Sie die Protokolle dann in einer Textdatei:

    1. Wählen Sie Bearbeiten>Alle auswählen aus, um alle Nachrichten auf dem aktuellen Bildschirm auszuwählen, und wählen Sie dannKopierenbearbeiten> aus, um die Nachrichten in die Zwischenablage zu kopieren.
    2. Öffnen Sie die Anwendung TextEdit, fügen Sie die kopierten Protokolle in eine neue Textdatei ein, und speichern Sie die Datei.

Das Unternehmensportal-Protokoll für iOS- und iPadOS-Geräte enthält keine Informationen zu PKCS-Zertifikatprofilen.

Protokolle für Windows-Geräte

Verwenden Sie für Geräte, auf denen Windows ausgeführt wird, die Windows-Ereignisprotokolle, um Registrierungs- oder Geräteverwaltungsprobleme für Geräte zu diagnostizieren, die Sie mit Intune verwalten.

Öffnen Sie auf dem Gerät Ereignisanzeige>Anwendungs- und Dienstprotokolle>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider.

Screenshot der Windows-Ereignisprotokolle.

Antivirusausschlüsse

Erwägen Sie das Hinzufügen von Antivirenausschlüssen auf Servern, die den Intune Certificate Connector hosten, in folgenden Fällen:

  • Zertifikatanforderungen erreichen den Server oder den Intune Certificate Connector, werden aber nicht erfolgreich verarbeitet.
  • Zertifikate werden langsam ausgestellt

Im Folgenden sind Beispiele für Speicherorte aufgeführt, die Sie ausschließen können:

  • %program_files%\Microsoft Intune\PfxRequest
  • %program_files%\Microsoft Intune\CertificateRequestStatus
  • %program_files%\Microsoft Intune\CertificateRevocationStatus

Häufige Fehler

Die folgenden häufigen Fehler werden jeweils in einem folgenden Abschnitt behandelt:

Der RPC-Server ist nicht verfügbar 0x800706ba

Während der PFX-Bereitstellung wird das vertrauenswürdige Stammzertifikat auf dem Gerät angezeigt, aber das PFX-Zertifikat wird nicht auf dem Gerät angezeigt. Die Protokolldatei NDESConnector_date_time.svclog enthält die Zeichenfolge Der RPC-Server ist nicht verfügbar. 0x800706ba, wie in der ersten Zeile des folgenden Beispiels gezeigt:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x800706BA): CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
IssuePfx -Generic Exception: System.ArgumentException: CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094800): The requested certificate template is not supported by this CA. (Exception from HRESULT: 0x80094800)

Ursache 1: Falsche Konfiguration der Zertifizierungsstelle in Intune

Dieses Problem kann auftreten, wenn das PKCS-Zertifikatprofil den falschen Server angibt oder Rechtschreibfehler für den Namen oder FQDN der Zertifizierungsstelle enthält. Die Zertifizierungsstelle wird in den folgenden Eigenschaften des Profils angegeben:

  • Zertifizierungsstelle
  • Name der Zertifizierungsstelle

Lösung:

Überprüfen Sie die folgenden Einstellungen, und beheben Sie, wenn sie falsch sind:

  • Die Eigenschaft Zertifizierungsstelle zeigt den internen FQDN Ihres Zertifizierungsstellenservers an.
  • Die Eigenschaft Name der Zertifizierungsstelle zeigt den Namen Ihrer Zertifizierungsstelle an.

Ursache 2: Die Zertifizierungsstelle unterstützt keine Zertifikatverlängerung für Anforderungen, die von vorherigen Zertifizierungsstellenzertifikaten signiert wurden.

Wenn der Zertifizierungsstellen-FQDN und der Name im PKCS-Zertifikatprofil korrekt sind, überprüfen Sie das Windows-Anwendungsprotokoll auf dem Zertifizierungsstellenserver. Suchen Sie nach einer Ereignis-ID 128 , die dem folgenden Beispiel ähnelt:

Log Name: Application:
Source: Microsoft-Windows-CertificationAuthority
Event ID: 128
Level: Warning
Details:
An Authority Key Identifier was passed as part of the certificate request 2268. This feature has not been enabled. To enable specifying a CA key for certificate signing, run: "certutil -setreg ca\UseDefinedCACertInRequest 1" and then restart the service.

Wenn das Zertifizierungsstellenzertifikat erneuert wird, muss es das OCSP-Antwortsignaturzertifikat (Online Certificate Status Protocol) signieren. Das Signieren ermöglicht es dem OCSP-Antwortsignaturzertifikat, andere Zertifikate zu überprüfen, indem die Sperrung status überprüft wird. Diese Signatur ist standardmäßig nicht aktiviert.

Lösung:

Manuelles Signieren des Zertifikats erzwingen:

  1. Öffnen Sie auf dem Zertifizierungsstellenserver eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie den folgenden Befehl aus: certutil -setreg ca\UseDefinedCACertInRequest 1
  2. Starten Sie den Zertifikatdienstedienst neu.

Nachdem der Zertifikatdienstedienst neu gestartet wurde, können Geräte Zertifikate empfangen.

Ein Registrierungsrichtlinienserver kann nicht 0x80094015

Ein Registrierungsrichtlinienserver kann nicht gefunden und0x80094015 werden, wie im folgenden Beispiel gezeigt:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094015): An enrollment policy server cannot be located. (Exception from HRESULT: 0x80094015)

Ursache: Servername der Zertifikatregistrierungsrichtlinie

Dieses Problem tritt auf, wenn der Computer, auf dem der Intune Certificate Connector gehostet wird, keinen Zertifikatregistrierungsrichtlinienserver finden kann.

Lösung:

Konfigurieren Sie den Namen des Zertifikatregistrierungsrichtlinienservers auf dem Computer, auf dem der Intune Certificate Connector gehostet wird, manuell. Verwenden Sie zum Konfigurieren des Namens das PowerShell-Cmdlet Add-CertificateEnrollmentPolicyServer .

Die Übermittlung steht aus.

Nachdem Sie ein PKCS-Zertifikatprofil auf mobilen Geräten bereitgestellt haben, werden die Zertifikate nicht abgerufen, und das protokoll NDESConnector_date_time.svclog enthält die Zeichenfolge Die Übermittlung steht aus, wie im folgenden Beispiel gezeigt:

IssuePfx - The submission is pending: Taken Under Submission
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission is pending

Darüber hinaus können Sie auf dem Zertifizierungsstellenserver die PFX-Anforderung im Ordner Ausstehende Anforderungen sehen:

Screenshot des Ordners

Ursache: Falsche Konfiguration für die Anforderungsverarbeitung

Dieses Problem tritt auf, wenn die Option Anforderung status auf Ausstehend festlegen. Der Administrator muss das Zertifikat explizit ausstellen, ist im Dialogfeld Eigenschaften derRichtlinie moduleigenschaften> der Zertifizierungsstelle> ausgewählt.

Screenshot der Eigenschaften des Richtlinienmoduls.

Lösung:

Bearbeiten Sie die Eigenschaften des Richtlinienmoduls, um festzulegen: Befolgen Sie ggf. die Einstellungen in der Zertifikatvorlage. Andernfalls stellen Sie das Zertifikat automatisch aus.

Der Parameter ist falsch 0x80070057

Wenn der Intune Certificate Connector erfolgreich installiert und konfiguriert wurde, erhalten Geräte keine PKCS-Zertifikate, und das protokoll NDESConnector_date_time.svclog enthält die Zeichenfolge Der Parameter ist falsch. 0x80070057, wie im folgenden Beispiel gezeigt:

CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

Ursache: Konfiguration des PKCS-Profils

Dieses Problem tritt auf, wenn das PKCS-Profil in Intune falsch konfiguriert ist. Im Folgenden finden Sie häufige Fehlkonfigurationen:

  • Das Profil enthält einen falschen Namen für die Zertifizierungsstelle.
  • Der alternative Antragstellername (Subject Alternative Name, SAN) ist für die E-Mail-Adresse konfiguriert, aber der Zielbenutzer verfügt noch nicht über eine gültige E-Mail-Adresse. Diese Kombination führt zu einem NULL-Wert für das SAN, der ungültig ist.

Lösung:

Überprüfen Sie die folgenden Konfigurationen für das PKCS-Profil, und warten Sie dann, bis die Richtlinie auf dem Gerät aktualisiert wird:

  • Konfiguriert mit dem Namen der Zertifizierungsstelle
  • Der richtigen Benutzergruppe zugewiesen
  • Benutzer in der Gruppe verfügen über gültige E-Mail-Adressen

Weitere Informationen finden Sie unter Konfigurieren und Verwenden von PKCS-Zertifikaten mit Intune.

Vom Richtlinienmodul abgelehnt

Wenn Geräte das vertrauenswürdige Stammzertifikat, aber nicht das PFX-Zertifikat empfangen und das protokoll NDESConnector_date_time.svclog die Zeichenfolge Enthält die Zeichenfolge The submission failed: Denied by Policy Module (Übermittlungsfehler: Vom Richtlinienmodul verweigert), wie im folgenden Beispiel gezeigt:

IssuePfx - The submission failed: Denied by Policy Module
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission failed
   at Microsoft.Management.Services.NdesConnector.MicrosoftCA.GetCertificate(PfxRequestDataStorage pfxRequestData, String containerName, String& certificate, String& password)
Issuing Pfx certificate for Device ID <Device ID> failed

Ursache: Computerkontoberechtigungen für die Zertifikatvorlage

Dieses Problem tritt auf, wenn das Computerkonto des Servers, der den Intune Certificate Connector hostet, keine Berechtigungen für die Zertifikatvorlage hat.

Lösung:

  1. Melden Sie sich bei Ihrer Unternehmenszertifizierungsstelle mit einem Konto an, das über Administratorrechte verfügt.
  2. Öffnen Sie die Zertifizierungsstelle-Konsole , klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie Verwalten aus.
  3. Suchen Sie die Zertifikatvorlage, und öffnen Sie das Dialogfeld Eigenschaften der Vorlage.
  4. Wählen Sie die Registerkarte Sicherheit aus, und fügen Sie das Computerkonto für den Server hinzu, auf dem Sie den Microsoft Intune Certificate Connector installiert haben. Erteilen Sie diesem Konto Lese - und Registrierungsberechtigungen .
  5. Klicken Sie auf OK anwenden>, um die Zertifikatvorlage zu speichern, und schließen Sie dann die Konsole Zertifikatvorlagen.
  6. Klicken Sie in der Konsole Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen>Neu>Auszustellende Zertifikatvorlage.
  7. Wählen Sie die vorlage aus, die Sie geändert haben, und klicken Sie dann auf OK.

Weitere Informationen finden Sie unter Konfigurieren von Zertifikatvorlagen für die Zertifizierungsstelle.

Zertifikatprofil bleibt als ausstehend hängen

Im Microsoft Intune Admin Center können PKCS-Zertifikatprofile nicht mit dem Status Ausstehend bereitgestellt werden. Die Protokolldatei "NDESConnector_date_time.svclog" enthält keine offensichtlichen Fehler. Da die Ursache dieses Problems in Protokollen nicht eindeutig identifiziert wird, gehen Sie die folgenden Ursachen durch.

Ursache 1: Nicht verarbeitete Anforderungsdateien

Überprüfen Sie die Anforderungsdateien auf Fehler, die angeben, warum sie nicht verarbeitet werden konnten.

  1. Verwenden Sie auf dem Server, der den Intune Certificate Connector hostet, Explorer, um zu %programfiles%\Microsoft Intune\PfxRequest zu navigieren.

  2. Überprüfen Sie Dateien in den Ordnern Fehler und Verarbeitung mit Ihrem bevorzugten Text-Editor.

    Screenshot des Ordners

  3. Suchen Sie in diesen Dateien nach Einträgen, die auf Fehler oder Probleme hinweisen. Suchen Sie mithilfe einer webbasierten Suche in den Fehlermeldungen nach Hinweisen, warum die Anforderung nicht verarbeitet werden konnte, und nach Lösungen für diese Probleme.

Ursache 2: Fehlkonfiguration für das PKCS-Zertifikatprofil

Wenn Sie keine Anforderungsdateien in den Ordnern Fehler, Verarbeitung oder Erfolgreich finden, kann die Ursache sein, dass das falsche Zertifikat dem PKCS-Zertifikatprofil zugeordnet ist. Beispielsweise wird dem Profil eine untergeordnete Zertifizierungsstelle zugeordnet, oder es wird das falsche Stammzertifikat verwendet.

Lösung:

  1. Überprüfen Sie Ihr vertrauenswürdiges Zertifikatprofil, um sicherzustellen, dass Sie das Stammzertifikat von Ihrer Unternehmenszertifizierungsstelle auf Geräten bereitgestellt haben.
  2. Überprüfen Sie Ihr PKCS-Zertifikatprofil, um sicherzustellen, dass es auf die richtige Zertifizierungsstelle, den richtigen Zertifikattyp und das vertrauenswürdige Zertifikatprofil verweist, das das Stammzertifikat für Geräte bereitstellt.

Weitere Informationen finden Sie unter Verwenden von Zertifikaten für die Authentifizierung in Microsoft Intune.

Fehler -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

PKCS-Zertifikate können nicht bereitgestellt werden, und die Zertifikatkonsole auf der ausstellenden Zertifizierungsstelle zeigt eine Meldung mit der Zeichenfolge -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED an, wie im folgenden Beispiel gezeigt:

Active Directory Certificate Services denied request abc123 because The Email name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). The request was for CN=" Common Name".  Additional information: Denied by Policy Module".

Ursache: "In der Anforderung angeben" ist falsch konfiguriert.

Dieses Problem tritt auf, wenn die Option Angeben in der Anforderung auf der Registerkarte Antragstellername im Dialogfeld Eigenschaften der Zertifikatvorlage nicht aktiviert ist.

Screenshot der NDES-Eigenschaften, bei denen die Option

Lösung:

Bearbeiten Sie die Vorlage, um das Konfigurationsproblem zu beheben:

  1. Melden Sie sich bei Ihrer Unternehmenszertifizierungsstelle mit einem Konto an, das über Administratorrechte verfügt.
  2. Öffnen Sie die Konsole Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Verwalten.
  3. Öffnen Sie das Dialogfeld Eigenschaften der Zertifikatvorlage.
  4. Wählen Sie auf der Registerkarte Antragstellernamedie Option Angeben in der Anforderung aus.
  5. Wählen Sie OK aus, um die Zertifikatvorlage zu speichern, und schließen Sie dann die Konsole Zertifikatvorlagen .
  6. Klicken Sie in der Zertifizierungsstelle-Konsole mit der rechten Maustaste auf Vorlagen>Neue>Ausstellende Zertifikatvorlage.
  7. Wählen Sie die vorlage aus, die Sie geändert haben, und klicken Sie dann auf OK.