다음을 통해 공유


Intune PKCS 인증서 배포 문제 해결

이 문서에서는 Microsoft Intune PKCS(공개 키 암호화 표준) 인증서를 배포할 때 몇 가지 일반적인 문제에 대한 문제 해결 지침을 제공합니다. 문제 해결 전에 Intune PKCS 인증서 구성 및 사용에 설명된 대로 다음 작업을 완료했는지 확인합니다.

  • PKCS 인증서 프로필을 사용하기 위한 요구 사항을 검토합니다.
  • CA(Enterprise Certification Authority)에서 루트 인증서를 내보냅니다.
  • 인증 기관에서 인증서 템플릿을 구성합니다.
  • Intune 인증서 커넥터를 설치하고 구성합니다.
  • 신뢰할 수 있는 인증서 프로필을 만들고 배포하여 루트 인증서를 배포합니다.
  • PKCS 인증서 프로필을 만들고 배포합니다.

PKCS 인증서 프로필에 대한 가장 일반적인 문제 원본은 PKCS 인증서 프로필의 구성이었습니다. 프로필 구성을 검토하고 서버 이름 또는 FQDN(정규화된 도메인 이름)에서 오타를 찾고 인증 기관인증 기관 이름이 올바른지 확인합니다.

  • 인증 기관: 인증 기관 컴퓨터의 내부 FQDN입니다. 예를 들어 server1.domain.local입니다.
  • 인증 기관 이름: 인증 기관 MMC에 표시된 인증 기관 이름입니다. 인증 기관(로컬) 아래에서 살펴보기

CA에서 certutil 명령줄 프로그램을 사용하여 인증 기관 및 인증 기관 이름의 올바른 이름을 확인할 수 있습니다.

PKCS 통신 개요

다음 그래픽에서는 Intune PKCS 인증서 배포 프로세스에 대한 기본 개요를 제공합니다.

PKCS 인증서 프로필 흐름의 스크린샷.

  1. 관리 Intune PKCS 인증서 프로필을 만듭니다.
  2. Intune 서비스는 온-프레미스 Intune 인증서 커넥터가 사용자에 대한 새 인증서를 만들 것을 요청합니다.
  3. Intune 인증서 커넥터는 PFX Blob 및 요청을 Microsoft Certification 기관에 보냅니다.
  4. 인증 기관에서 PFX 사용자 인증서를 발급하고 Intune 인증서 커넥터로 다시 보냅니다.
  5. Intune 인증서 커넥터는 암호화된 PFX 사용자 인증서를 업로드하여 Intune.
  6. Intune PFX 사용자 인증서의 암호를 해독하고 장치 관리 인증서를 사용하여 디바이스에 대해 다시 암호화합니다. Intune PFX 사용자 인증서를 디바이스로 보냅니다.
  7. 디바이스는 인증서 상태 Intune 보고합니다.

로그 파일

통신 및 인증서 프로비저닝 워크플로의 문제를 식별하려면 서버 인프라와 디바이스의 로그 파일을 검토합니다. PKCS 인증서 프로필 문제를 해결하기 위한 이후 섹션에서는 이 섹션에서 참조하는 로그 파일을 참조하세요.

디바이스 로그는 디바이스 플랫폼에 따라 달라집니다.

온-프레미스 인프라에 대한 로그

인증서 배포에 PKCS 인증서 프로필 사용을 지원하는 온-프레미스 인프라에는 Microsoft Intune 인증서 커넥터 및 인증 기관이 포함됩니다.

이러한 역할에 대한 로그 파일에는 Windows 이벤트 뷰어, 인증서 콘솔 및 Intune 인증서 커넥터와 관련된 다양한 로그 파일 또는 온-프레미스 인프라의 일부인 기타 역할 및 작업이 포함됩니다.

  • NDESConnector_date_time.svclog:

    이 로그는 Microsoft Intune 인증서 커넥터에서 Intune 클라우드 서비스로의 통신을 보여줍니다. 서비스 추적 뷰어 도구를 사용하여 이 로그 파일을 볼 수 있습니다.

    관련 레지스트리 키: HKLM\SW\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

    위치: %program_files%\Microsoft intune에서 Intune 인증서 커넥터를 호스트하는 서버에서 desconnectorsvc\logs\logs를\n.

  • Windows 애플리케이션 로그:

    위치: Intune 인증서 커넥터를 호스트하는 서버에서 eventvwr.msc를 실행하여 Windows 이벤트 뷰어

Android 디바이스에 대한 로그

Android를 실행하는 디바이스의 경우 Android 회사 포털 앱 로그 파일 OMADM.log 사용합니다. 로그를 수집하고 검토하기 전에 자세한 정보 로깅 을 사용하도록 설정한 다음 문제를 재현합니다.

디바이스에서 OMADM.logs를 수집하려면 USB 케이블을 사용하여 로그 업로드 및 메일 보내기를 참조하세요.

지원하도록 로그를 업로드하고 전자 메일로 보낼 수도 있습니다.

iOS 및 iPadOS 디바이스에 대한 로그

iOS/iPadOS를 실행하는 디바이스의 경우 Mac 컴퓨터에서 실행되는 디버그 로그 및 Xcode 를 사용합니다.

  1. iOS/iPadOS 디바이스를 Mac에 연결한 다음 애플리케이션>유틸리티 로 이동하여 콘솔 앱을 엽니다.

  2. 작업에서 정보 메시지 포함디버그 메시지 포함을 선택합니다.

    스크린샷은 정보 메시지 포함 및 디버그 메시지 포함 옵션이 선택된 것을 보여줍니다.

  3. 문제를 재현한 다음, 로그를 텍스트 파일에 저장합니다.

    1. 모두 편집>을선택하여 현재 화면에서 모든 메시지를 선택한 다음 복사 편집>을 선택하여 메시지를 클립보드에 복사합니다.
    2. TextEdit 애플리케이션을 열고 복사한 로그를 새 텍스트 파일에 붙여넣은 다음 파일을 저장합니다.

iOS 및 iPadOS 디바이스에 대한 회사 포털 로그에는 PKCS 인증서 프로필에 대한 정보가 포함되어 있지 않습니다.

Windows 디바이스에 대한 로그

Windows를 실행하는 디바이스의 경우 Windows 이벤트 로그를 사용하여 Intune 관리하는 디바이스에 대한 등록 또는 디바이스 관리 문제를 진단합니다.

디바이스에서 이벤트 뷰어>애플리케이션 및 서비스 로그>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider를 엽니다.

Windows 이벤트 로그의 스크린샷

바이러스 백신 제외

다음과 같은 경우 Intune 인증서 커넥터를 호스트하는 서버에 바이러스 백신 제외를 추가하는 것이 좋습니다.

  • 인증서 요청이 서버 또는 Intune 인증서 커넥터에 도달하지만 성공적으로 처리되지 않음
  • 인증서가 느리게 발급됨

제외할 수 있는 위치의 예는 다음과 같습니다.

  • %program_files%\Microsoft Intune\PfxRequest
  • %program_files%\Microsoft Intune\CertificateRequestStatus
  • %program_files%\Microsoft Intune\CertificateRevocationStatus

일반적인 오류

다음과 같은 일반적인 오류는 각각 다음 섹션에서 해결됩니다.

RPC 서버를 사용할 수 0x800706ba

PFX를 배포하는 동안 신뢰할 수 있는 루트 인증서가 디바이스에 표시되지만 PFX 인증서는 디바이스에 표시되지 않습니다. NDESConnector_date_time.svclog 로그 파일에 는 RPC 서버를 사용할 수 없는 문자열이 포함되어 있습니다. 다음 예제의 첫 줄에 표시된 대로 0x800706ba.

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x800706BA): CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
IssuePfx -Generic Exception: System.ArgumentException: CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094800): The requested certificate template is not supported by this CA. (Exception from HRESULT: 0x80094800)

원인 1 - Intune CA 구성이 잘못되었습니다.

이 문제는 PKCS 인증서 프로필이 잘못된 서버를 지정하거나 CA의 이름 또는 FQDN에 대한 맞춤법 오류를 포함할 때 발생할 수 있습니다. CA는 프로필의 다음 속성에 지정됩니다.

  • 인증 기관
  • 인증 기관 이름

해결 방법:

다음 설정을 검토하고 잘못된 경우 수정합니다.

  • 인증 기관 속성은 CA 서버의 내부 FQDN을 표시합니다.
  • 인증 기관 이름 속성은 CA의 이름을 표시합니다.

원인 2 - CA는 이전 CA 인증서에서 서명한 요청에 대한 인증서 갱신을 지원하지 않습니다.

PKCS 인증서 프로필에서 CA FQDN 및 이름이 올바른 경우 인증 기관 서버에 있는 Windows 애플리케이션 로그를 검토합니다. 다음 예제와 유사한 이벤트 ID 128 을 찾습니다.

Log Name: Application:
Source: Microsoft-Windows-CertificationAuthority
Event ID: 128
Level: Warning
Details:
An Authority Key Identifier was passed as part of the certificate request 2268. This feature has not been enabled. To enable specifying a CA key for certificate signing, run: "certutil -setreg ca\UseDefinedCACertInRequest 1" and then restart the service.

CA 인증서가 갱신되면 OCSP(온라인 인증서 상태 프로토콜) 응답 서명 인증서에 서명해야 합니다. 서명하면 OCSP 응답 서명 인증서가 해지 상태 확인하여 다른 인증서의 유효성을 검사할 수 있습니다. 이 서명은 기본적으로 사용하도록 설정되지 않습니다.

해결 방법:

수동으로 인증서 서명 강제 적용:

  1. CA 서버에서 관리자 권한 명령 프롬프트를 열고 certutil -setreg ca\UseDefinedCACertInRequest 1 명령을 실행합니다.
  2. Certificate Services 서비스를 다시 시작합니다.

인증서 서비스 서비스가 다시 시작되면 디바이스는 인증서를 받을 수 있습니다.

등록 정책 서버를 0x80094015

다음 예제와 같이 등록 정책 서버를 찾아 0x80094015 수 없습니다.

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094015): An enrollment policy server cannot be located. (Exception from HRESULT: 0x80094015)

원인 - 인증서 등록 정책 서버 이름

이 문제는 Intune 인증서 커넥터를 호스트하는 컴퓨터가 인증서 등록 정책 서버를 찾을 수 없는 경우에 발생합니다.

해결 방법:

Intune 인증서 커넥터를 호스트하는 컴퓨터에서 인증서 등록 정책 서버의 이름을 수동으로 구성합니다. 이름을 구성하려면 Add-CertificateEnrollmentPolicyServer PowerShell cmdlet을 사용합니다.

제출이 보류 중입니다.

모바일 디바이스에 PKCS 인증서 프로필을 배포한 후에는 인증서가 획득되지 않고 NDESConnector_date_time.svclog 로그에 다음 예제와 같이 제출이 보류 중이라는 문자열이 포함됩니다.

IssuePfx - The submission is pending: Taken Under Submission
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission is pending

또한 인증 기관 서버의 보류 중인 요청 폴더에서 PFX 요청을 볼 수 있습니다.

인증 기관 보류 중인 요청 폴더의 스크린샷.

원인 - 요청 처리에 대한 잘못된 구성

이 문제는 요청 상태 보류 중으로 설정 옵션인 경우 발생합니다. 관리자가 인증서를 명시적으로 발급해야 합니다. 인증서는 인증 기관 속성>정책 모듈>속성 대화 상자에서 선택됩니다.

정책 모듈 속성의 스크린샷

해결 방법:

정책 모듈 속성을 편집하여 설정합니다. 해당하는 경우 인증서 템플릿의 설정을 따릅니다. 그렇지 않으면 인증서를 자동으로 발급합니다.

매개 변수가 잘못된 0x80070057

Intune 인증서 커넥터를 설치하고 구성하면 디바이스가 PKCS 인증서를 받지 못하며 NDESConnector_date_time.svclog 로그에 매개 변수가 잘못되었습니다. 다음 예제와 같이 0x80070057.

CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

원인 - PKCS 프로필 구성

이 문제는 Intune PKCS 프로필이 잘못 구성된 경우에 발생합니다. 다음은 일반적인 잘못된 구성입니다.

  • 프로필에 CA에 대한 잘못된 이름이 포함됩니다.
  • SAN(주체 대체 이름)은 전자 메일 주소에 대해 구성되었지만 대상 사용자에게는 아직 유효한 전자 메일 주소가 없습니다. 이 조합으로 인해 SAN에 대한 null 값이 생성되며 이는 유효하지 않습니다.

해결 방법:

PKCS 프로필에 대해 다음 구성을 확인한 다음 디바이스에서 정책이 새로 고쳐지도록 기다립니다.

  • CA 이름으로 구성됨
  • 올바른 사용자 그룹에 할당됨
  • 그룹의 사용자에게 유효한 전자 메일 주소가 있습니다.

자세한 내용은 Intune PKCS 인증서 구성 및 사용을 참조하세요.

정책 모듈에서 거부됨

디바이스가 신뢰할 수 있는 루트 인증서를 수신하지만 PFX 인증서를 받지 못하고 NDESConnector_date_time.svclog 로그에 다음 예제와 같이 제출 실패: 정책 모듈에 의해 거부됨 문자열이 포함된 경우:

IssuePfx - The submission failed: Denied by Policy Module
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission failed
   at Microsoft.Management.Services.NdesConnector.MicrosoftCA.GetCertificate(PfxRequestDataStorage pfxRequestData, String containerName, String& certificate, String& password)
Issuing Pfx certificate for Device ID <Device ID> failed  

원인 – 인증서 템플릿에 대한 컴퓨터 계정 권한

이 문제는 Intune 인증서 커넥터를 호스트하는 서버의 컴퓨터 계정에 인증서 템플릿에 대한 권한이 없는 경우에 발생합니다.

해결 방법:

  1. 관리 권한이 있는 계정으로 엔터프라이즈 CA에 로그인합니다.
  2. 인증 기관 콘솔을 열고 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 관리를 선택합니다.
  3. 인증서 템플릿을 찾아 템플릿의 속성 대화 상자를 엽니다.
  4. 보안 탭을 선택하고 Microsoft Intune 인증서 커넥터를 설치한 서버의 컴퓨터 계정을 추가합니다. 해당 계정에 읽기등록 권한을 부여합니다.
  5. 확인적용>을 선택하여 인증서 템플릿을 저장한 다음 인증서 템플릿 콘솔을 닫습니다.
  6. 인증 기관 콘솔에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 >새로 만들기>발급할 인증서 템플릿을 선택합니다.
  7. 수정한 템플릿을 선택한 다음 확인을 클릭합니다.

자세한 내용은 CA에서 인증서 템플릿 구성을 참조하세요.

인증서 프로필이 보류 중으로 중단됨

Microsoft Intune 관리 센터에서 PKCS 인증서 프로필은 보류 중 상태로 배포되지 않습니다. NDESConnector_date_time.svclog 로그 파일에는 명백한 오류가 없습니다. 이 문제의 원인은 로그에서 명확하게 식별되지 않으므로 다음 원인을 해결합니다.

원인 1 - 처리되지 않은 요청 파일

요청 파일을 검토하여 처리에 실패한 이유를 나타내는 오류를 확인합니다.

  1. Intune 인증서 커넥터를 호스트하는 서버에서 파일 탐색기 사용하여 %programfiles%\Microsoft Intune\PfxRequest로 이동합니다.

  2. 즐겨 찾는 텍스트 편집기를 사용하여 실패처리 폴더의 파일을 검토합니다.

    PfxRequest 폴더의 스크린샷

  3. 이러한 파일에서 오류를 나타내거나 문제를 제안하는 항목을 찾습니다. 웹 기반 검색을 사용하여 요청이 처리되지 않은 이유와 해당 문제에 대한 해결 방법에 대한 단서를 찾기 위해 오류 메시지를 조회합니다.

원인 2 - PKCS 인증서 프로필의 구성이 잘못되었습니다.

실패, 처리 또는 성공 폴더에서 요청 파일을 찾을 수 없는 경우 잘못된 인증서가 PKCS 인증서 프로필과 연결되어 있기 때문일 수 있습니다. 예를 들어 하위 CA가 프로필과 연결되거나 잘못된 루트 인증서가 사용됩니다.

해결 방법:

  1. 신뢰할 수 있는 인증서 프로필을 검토하여 엔터프라이즈 CA에서 디바이스로 루트 인증서를 배포했는지 확인합니다.
  2. PKCS 인증서 프로필을 검토하여 루트 인증서를 디바이스에 배포하는 올바른 CA, 인증서 유형 및 신뢰할 수 있는 인증서 프로필을 참조하는지 확인합니다.

자세한 내용은 Microsoft Intune에서 인증에 인증서 사용을 참조하세요.

오류 -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

PKCS 인증서를 배포하지 못하고 발급 CA의 인증서 콘솔은 다음 예제와 같이 문자열 -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED 메시지를 표시합니다.

Active Directory Certificate Services denied request abc123 because The Email name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). The request was for CN=" Common Name".  Additional information: Denied by Policy Module".

원인 - "요청의 공급"이 잘못 구성되었습니다.

이 문제는 인증서 템플릿 속성 대화 상자의 주체 이름에서 요청의 공급 옵션을 사용할 수 없는 경우에 발생합니다.

요청에서 공급 옵션이 강조 표시된 NDES 속성의 스크린샷

해결 방법:

템플릿을 편집하여 구성 문제를 resolve.

  1. 관리 권한이 있는 계정으로 엔터프라이즈 CA에 로그인합니다.
  2. 인증 기관 콘솔을 열고 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 관리를 선택합니다.
  3. 인증서 템플릿의 속성 대화 상자를 엽니다.
  4. 주체 이름 탭의 요청에서 공급 을 선택합니다.
  5. 확인을 선택하여 인증서 템플릿을 저장한 다음 인증서 템플릿 콘솔을 닫습니다.
  6. 인증 기관 콘솔에서 템플릿 발급>할>인증서 템플릿을 마우스 오른쪽 단추로 클릭합니다.
  7. 수정한 템플릿을 선택한 다음 확인을 선택합니다.