Solución de problemas de perfiles de certificado SCEP con Intune
En este artículo se proporcionan instrucciones para ayudarle a solucionar problemas con perfiles de certificado del Protocolo simple de inscripción de certificados (SCEP) en Microsoft Intune. En las secciones siguientes se tratan estos conceptos:
- La arquitectura y el flujo de comunicación del proceso SCEP
- Restricción de dónde existe un problema en ese flujo de comunicación
- Identificación de los archivos de registro de claves a los que se hace referencia en artículos posteriores para solucionar problemas de perfiles de certificado
La información de este artículo y los artículos relacionados de solución de problemas de certificados SCEP se aplica al uso de perfiles de certificado SCEP con dispositivos Android, iOS/iPad y Windows. La información similar para macOS no está disponible en este momento. Para solucionar problemas del servicio de inscripción de dispositivos de red (NDES), consulte los artículos siguientes:
- Compruebe la configuración de NDES local para los certificados SCEP en Intune
- Configurar la infraestructura de para admitir SCEP con Intune
Antes de continuar, asegúrese de que cumple los requisitos previos para usar perfiles de certificado SCEP, incluida la implementación de un certificado raíz a través de un perfil de certificado de confianza.
Introducción al flujo de comunicación de SCEP
En la imagen siguiente se muestra una introducción básica al proceso de comunicación de SCEP en Intune. Cada paso incluye un vínculo a un artículo con instrucciones más prescriptivas.
Implemente un perfil de certificado SCEP. Intune genera una cadena de desafío, que requiere un usuario, un propósito de certificado y un tipo de certificado específicos.
Comunicación del dispositivo al servidor NDES. El dispositivo usa el URI para NDES del perfil para ponerse en contacto con el servidor NDES para que pueda presentar un desafío.
NDES para la comunicación del módulo de directivas. NDES reenvía el desafío al módulo de directiva Intune Certificate Connector en el servidor, que valida la solicitud.
NDES a la entidad de certificación. NDES pasa solicitudes válidas para emitir un certificado a la entidad de certificación (CA).
Entrega de certificados al dispositivo. El certificado se entrega al dispositivo.
Informes de la implementación en Intune. El conector de certificado de Intune notifica el evento de emisión de certificados a Intune.
Archivos de registro
Para identificar problemas para el flujo de trabajo de aprovisionamiento de certificados y comunicaciones, revise los archivos de registro de la infraestructura del servidor y de los dispositivos. Las secciones posteriores para solucionar problemas de perfiles de certificado SCEP hacen referencia a los archivos de registro a los que se hace referencia en esta sección.
Los registros de dispositivos dependen de la plataforma del dispositivo:
Registros de la infraestructura local
La infraestructura local que admite el uso de perfiles de certificado SCEP para implementaciones de certificados incluye Microsoft Intune Certificate Connector, NDES que se ejecuta en Windows Server y la entidad de certificación.
Los archivos de registro de estos roles incluyen windows Visor de eventos, consolas de certificados y varios archivos de registro específicos de Intune Certificate Connector, NDES u otro rol y operaciones que forman parte de la infraestructura local.
La lista siguiente incluye registros o consolas a los que se hace referencia en los artículos de solución de problemas de SCEP posteriores.
NDESConnector_date_time.svclog:
Este registro muestra la comunicación desde Microsoft Intune Certificate Connector al servicio en la nube de Intune. Puede usar la herramienta Visor de seguimiento de servicio para ver este archivo de registro.
Clave del Registro relacionada: HKLM\Software\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus
Ubicación: en el servidor que hospeda NDES en %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs
CertificateRegistrationPoint_date_time.svclog:
Este registro muestra el módulo de directivas NDES que recibe y comprueba las solicitudes de certificado. Puede usar la herramienta Visor de seguimiento de servicio para ver este archivo de registro.
Ubicación: en el servidor que hospeda NDES en %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs
NDESPlugin.log:
Este registro muestra el paso de solicitudes de certificado al punto de registro de certificados y la comprobación resultante de esas solicitudes.
Ubicación: en el servidor que hospeda NDES en %program_files%\Microsoft Intune\NDESPolicyModule\logs
Registros de IIS:
Los registros de IIS muestran las solicitudes de certificado de los dispositivos móviles que escriben NDES.
Ubicación: en el servidor que hospeda NDES en c:\inetpub\logs\LogFiles\W3SVC1
Registro de aplicación de Windows:
Este registro es útil al investigar problemas de IIS, como el grupo de aplicaciones SCEP.
Ubicación: en el servidor que hospeda NDES: ejecute eventvwr.msc para abrir Windows Visor de eventos
Registros para dispositivos Android
Para los dispositivos que ejecutan Android, use el archivo de registro de aplicaciones de Android Portal de empresa, OMADM.log. Antes de recopilar y revisar los registros, asegúrese de que el registro detallado está habilitado y, a continuación, reproduzca el problema.
Para recopilar el archivo OMADM.logs de un dispositivo, consulte Carga y registros de correo electrónico mediante un cable USB.
También puede cargar y enviar registros de correo electrónico para admitirlos.
Registros de dispositivos iOS y iPadOS
En el caso de los dispositivos que ejecutan iOS/iPadOS, se usan registros de depuración y Xcode que se ejecutan en un equipo Mac:
Conecte el dispositivo iOS/iPadOS a Mac y, a continuación, vaya aUtilidades deaplicaciones> para abrir la aplicación consola.
En Acción, seleccione Incluir mensajes de información e Incluir mensajes de depuración.
Reproduzca el problema y guarde los registros en un archivo de texto:
- Seleccione Editar>Seleccionar todo para seleccionar todos los mensajes en la pantalla actual y, a continuación, seleccione Editar>copia para copiar los mensajes en el Portapapeles.
- Abra la aplicación TextEdit, pegue los registros copiados en un nuevo archivo de texto y, a continuación, guarde el archivo.
El registro de Portal de empresa para dispositivos iOS y iPadOS no contiene información sobre los perfiles de certificado SCEP.
Registros para dispositivos Windows
En el caso de los dispositivos que ejecutan Windows, use los registros de eventos de Windows para diagnosticar problemas de inscripción o administración de dispositivos para los dispositivos que administra con Intune.
En el dispositivo, abra Visor de eventos>Registros de aplicaciones y servicios>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de