Condividi tramite

Risoluzione dei problemi relativi al recapito dei certificati di cui viene effettuato il provisioning da SCEP ai dispositivi in Microsoft Intune

  • Articolo

Questo articolo fornisce indicazioni per la risoluzione dei problemi che consentono di analizzare il recapito dei certificati ai dispositivi quando si usa Simple Certificate Enrollment Protocol (SCEP) per effettuare il provisioning dei certificati in Intune. Dopo che il server del servizio Registrazione dispositivi di rete (NDES) riceve il certificato richiesto per un dispositivo dall'autorità di certificazione (CA), il certificato viene passato di nuovo al dispositivo.

Questo articolo si applica al passaggio 5 del flusso di lavoro di comunicazione SCEP; recapito del certificato al dispositivo che ha inviato la richiesta di certificato.

Esaminare l'autorità di certificazione

Quando la CA ha rilasciato il certificato, nella CA verrà visualizzata una voce simile all'esempio seguente:

Screenshot di un esempio di certificati rilasciati.

Esaminare il dispositivo

Android

Per i dispositivi registrati dall'amministratore del dispositivo, verrà visualizzata una notifica simile all'immagine seguente, che richiede di installare il certificato:

Screenshot di una notifica Android.

Per Android Enterprise o Samsung Knox, l'installazione del certificato è automatica e invisibile all'utente.

Per visualizzare un certificato installato in Android, usare un'app di visualizzazione del certificato di terze parti.

È anche possibile esaminare il log OMADM dei dispositivi. Cercare voci simili agli esempi seguenti, che vengono registrate durante l'installazione dei certificati:

Certificato radice:

2018-02-27T04:50:52.1890000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        9    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALL_REQUESTED
2018-02-27T04:53:31.1300000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        0    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T04:53:32.0390000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595       14    Root cert '17…' state changed from CERT_INSTALLING to CERT_INSTALL_SUCCESS

Certificato sottoposto a provisioning tramite SCEP

2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    There are 1 requests
2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    Trying to enroll certificate request: ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787
2018-02-27T05:16:20.6150000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:20.6530000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:21.7460000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.7890000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:28.0340000    VERB    Event     org.jscep.transaction.EnrollmentTransaction    18327       10    Response: org.jscep.message.CertRep@3150777b[failInfo=<null>,pkiStatus=SUCCESS,recipientNonce=Nonce [GUID],messageData=org.spongycastle.cms.CMSSignedData@27cc8998,messageType=CERT_REP,senderNonce=Nonce [GUID],transId=TRANSID]
2018-02-27T05:16:28.2440000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       10    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ENROLLED to CERT_INSTALL_REQUESTED
2018-02-27T05:18:44.9820000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327        0    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T05:18:45.3460000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       14    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALLING to CERT_ACCESS_REQUESTED
2018-02-27T05:20:15.3520000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       21    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ACCESS_REQUESTED to CERT_ACCESS_GRANTED

iOS/iPadOS

Nel dispositivo iOS/iPadOS o iPadOS è possibile visualizzare il certificato sotto il profilo Gestione dispositivi. Eseguire il drill-down per visualizzare i dettagli per i certificati installati.

Screenshot dei certificati iOS nel profilo Gestione dispositivi.

È anche possibile trovare voci simili alle seguenti nel log di debug di iOS:

Debug 18:30:53.691033 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\  
Debug 18:30:54.640644 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
Debug 18:30:55.487908 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgMFADCABgkqhkiG9w0BBwGggCSABIIZfzCABgkqhkiG9w0BBwOggDCAAgEAMYIBgjCCAX4CAQAwZjBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxHDAaBgoJkiaJk/IsZAEZFgxmb3VydGhjb2ZmZWUxGDAWBgNVBAMTD0ZvdXJ0aENvZmZlZSBDQQITaAAAAAmaneVjEPlcTwAAAAAACTANBgkqhkiG9w0BAQEFAASCAQCqfsOYpuBToerQLkw/tl4tH9E+97TBTjGQN9NCjSgb78fF6edY0pNDU+PH4RB356wv3rfZi5IiNrVu5Od4k6uK4w0582ZM2n8NJFRY7KWSNHsmTIWlo/Vcr4laAtq5rw+CygaYcefptcaamkjdLj07e/Uk4KsetGo7ztPVjSEFwfRIfKv474dLDmPqp0ZwEWRQG 
Debug 18:30:57.285730 -0500 profiled Adding dependent Microsoft.Profiles.MDM to parent www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 in domain ManagedProfileToManagingProfile to system\ 
Default 18:30:57.320616 -0500 profiled Profile \'93www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295\'94 installed.\

Windows

In un dispositivo Windows verificare che il certificato sia stato recapitato:

  • Eseguire eventvwr.msc per aprire Visualizzatore eventi. Passare a Registri> applicazioni e serviziMicrosoft> Windows >DeviceManagement-Enterprise-Diagnostic-Provider>Amministrazione e cercare l'evento 39. Questo evento deve avere una descrizione generale di: SCEP: Certificato installato correttamente.

    Screenshot dell'evento 39 nel log delle applicazioni di Windows.

Per visualizzare il certificato nel dispositivo, eseguire certmgr.msc per aprire mmc certificati e verificare che i certificati radice e SCEP siano installati correttamente nel dispositivo nell'archivio personale:

  1. Passare a Certificati (computer locale)>Certificati autorità > di certificazione radice attendibilie verificare che il certificato radice della CA sia presente. I valori per Issued To e Issued By saranno gli stessi.
  2. Nella MMC Certificati passare a Certificati - Certificatipersonali> utente > corrente e verificare che il certificato richiesto sia presente, con Emesso da uguale al nome della CA.

Risolvere gli errori

Android

Per risolvere i problemi relativi al recapito dei certificati, esaminare gli errori registrati nel log di OMA DM.

iOS/iPadOS

Per risolvere i problemi relativi al recapito dei certificati, esaminare gli errori registrati nel log di debug dei dispositivi.

Windows

Per risolvere i problemi relativi al certificato non installato nel dispositivo, cercare nel registro eventi di Windows gli errori che suggeriscono problemi:

  • Nel dispositivo eseguire eventvwr.msc per aprire Visualizzatore eventi e quindi passare a Registri> applicazioni e serviziMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Amministrazione.

Gli errori relativi al recapito e all'installazione del certificato nel dispositivo sono in genere correlati alle operazioni di Windows e non alla Intune.

Passaggi successivi

Se il certificato viene distribuito correttamente nel dispositivo, ma Intune non segnala l'esito positivo, vedere Report NDES per Intune per la risoluzione dei problemi relativi alla creazione di report.