Compartir a través de

Solución de problemas del módulo de directivas NDES en Microsoft Intune

  • Artículo

En este artículo se proporcionan instrucciones para ayudarle a validar y solucionar problemas de funcionamiento del módulo de directivas del Servicio de inscripción de dispositivos de red (NDES) que se instala con Microsoft Intune Certificate Connector. Cuando NDES recibe una solicitud para un certificado, reenvía la solicitud al módulo de directivas, que valida la solicitud como válida para el dispositivo. Después de la validación, NDES se pone en contacto con la entidad de certificación (CA) para solicitar el certificado en nombre del dispositivo.

Este artículo se aplica tanto al paso 3 como al paso 4 del flujo de trabajo de comunicación SCEP.

Comunicación de NDES con el módulo de directivas

Después de recibir la solicitud de certificado desde un dispositivo, NDES valida esa solicitud con Intune a través del módulo de directiva que se instala con Microsoft Intune Certificate Connector. Estas entradas hacen referencia al punto de registro de certificados.

Entradas de registro que indican que se ha realizado correctamente:

Para confirmar que la solicitud de validación se envía al módulo, busque una entrada similar a los ejemplos siguientes en los registros del servidor NDES:

  • Registros de IIS:

    fe80::f53d:89b8:c3e8:5fec%13 POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 - 
fe80::f53d:89b8:c3e8:5fec%13 NDES_Plugin - 201 0 0 341 875

  • Registro de NDESPlugin:

    Calling VerifyRequest ...  
Sending request to certificate registration point.

    En el ejemplo siguiente se indica una validación correcta de la solicitud de desafío de dispositivos y que NDES ahora puede ponerse en contacto con la CA:

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

Cuando los indicadores de éxito no están presentes:

Si no encuentra estas entradas, empiece por revisar la guía de solución de problemas para la comunicación del servidor de dispositivo a NDES.

Si la información de ese artículo no le ayuda a resolver el problema, las siguientes son entradas adicionales que pueden indicar problemas.

NDESPlugin.log contiene un error 12175

Cuando el registro contiene un error 12175 similar al siguiente, puede haber un problema con el certificado SSL:

WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID
Failed to send http request /CertificateRegistrationSvc/Certificate/VerifyRequest. Error 12175

Los exploradores y exploradores modernos de dispositivos móviles omiten el nombre común en un certificado SSL si hay nombres alternativos de firmante presentes.

Solución: emita el certificado SSL del servidor web con los siguientes atributos para Common Name y Subject Alternative Name y, a continuación, enlazarlo al puerto 443 en IIS:

  • Nombre de sujeto
    CN = nombre del servidor externo
  • Nombre alternativo del firmante
    Nombre = nombre del servidor externo
    Nombre DNS = nombre interno del servidor

NDESPlugin.log contiene un error 403: Prohibido: se deniega el acceso"

Cuando los registros siguientes contienen un error 403 similar al siguiente, es posible que el certificado de cliente no sea de confianza o no sea válido:

NDESPlugin.log:

Sending request to certificate registration point.
Verify challenge returns <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>403 - Forbidden: Access is denied.</title>

Registro de IIS:

POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 -<IP_address>
NDES_Plugin - 403 16 2148204809 453

Este problema se produce si hay certificados de CA intermedios en el almacén de certificados de entidades de certificación raíz de confianza del servidor NDES.

Si un certificado tiene los mismos valores Emitido a y Emitido por , es un certificado raíz. De lo contrario, es un certificado intermedio.

Solución: para solucionar el problema, identifique y quite los certificados intermedios de ca del almacén de certificados de entidades de certificación raíz de confianza.

NDESPlugin.log indica que el desafío devuelve false

Cuando el resultado del desafío devuelve false, compruebe si hay errores en CertificateRegistrationPoint.svclog . Por ejemplo, es posible que vea un error "No se pudo recuperar el certificado de firma" similar a la entrada siguiente:

Signing certificate could not be retrieved. System.Security.Cryptography.CryptographicException: m_safeCertContext is an invalid handle. at System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid() at System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString() at Microsoft.ConfigurationManager.CertRegPoint.CRPCertificate.RetrieveSigningCert(String certThumbprint

Solución: en el servidor donde está instalado el conector, abra el registro Editor, busque la clave del HKLM\SOFTWARE\Microsoft\MicrosoftIntune\NDESConnector Registro y compruebe si existe el valor SigningCertificate.

Si este valor no existe, reinicie el servicio de conector de Intune en services.msc y, a continuación, compruebe si el valor aparece en el Registro. Si el valor sigue faltando, a menudo se debe a problemas de conectividad de red entre el servidor que NDES y el servicio Intune.

NDES pasa la solicitud para emitir el certificado

Después de una validación correcta por el punto de registro de certificado (el módulo de directiva), NDES pasa la solicitud de certificado a la CA en nombre del dispositivo.

Entradas de registro que indican que se ha realizado correctamente:

  • Registro de NDESPlugin:

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • Registros de IIS:

    fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe ... 80 - 
fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 2713 1296

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

Cuando los indicadores de éxito no están presentes:

Si no ve las entradas que indican que se ha realizado correctamente, complete estos pasos:

  1. Busque los problemas que se registran en CertificateRegistrationPoint.svclog cuando el punto de registro de certificado comprueba el desafío. Busque las entradas entre las líneas siguientes:

    • VerifyRequest Started.
    • VerifyRequest Finalizó con el estado False

  2. Abra MMC de la entidad de certificación en la entidad de certificación y seleccione Solicitudes con errores para buscar errores que ayuden a identificar un problema. La siguiente imagen es un ejemplo:

    Captura de pantalla de una solicitud con error de ejemplo.

  3. Revise el registro de eventos de la aplicación en la entidad de certificación para ver si hay errores. Normalmente, puede ver errores que coinciden con lo que ve en las solicitudes con error del paso anterior. La siguiente imagen es un ejemplo:

    Captura de pantalla que muestra los detalles del registro de la aplicación.

Pasos siguientes

Si el módulo de directivas NDES valida la solicitud y la solicitud se reenvía a la entidad de certificación, el siguiente paso es revisar la entrega del certificado al dispositivo.