Problemen met de levering van certificaten die door SCEP zijn ingericht voor apparaten in Microsoft Intune
In dit artikel vindt u richtlijnen voor probleemoplossing waarmee u de levering van certificaten op apparaten kunt onderzoeken wanneer u SCEP (Simple Certificate Enrollment Protocol) gebruikt om certificaten in te richten in Intune. Nadat de NDES-server (Network Device Enrollment Service) het aangevraagde certificaat voor een apparaat van de certificeringsinstantie (CA) heeft ontvangen, wordt dat certificaat teruggegeven aan het apparaat.
Dit artikel is van toepassing op stap 5 van de SCEP-communicatiewerkstroom; levering van het certificaat aan het apparaat dat de certificaataanvraag heeft ingediend.
De certificeringsinstantie controleren
Wanneer de CA het certificaat heeft uitgegeven, ziet u een vermelding die vergelijkbaar is met het volgende voorbeeld op de CA:
Het apparaat controleren
Android
Voor apparaten die door een apparaatbeheerder zijn ingeschreven, ziet u een melding die vergelijkbaar is met de volgende afbeelding, waarin u wordt gevraagd het certificaat te installeren:
Voor Android Enterprise of Samsung Knox is de installatie van het certificaat automatisch en stil.
Als u een geïnstalleerd certificaat op Android wilt weergeven, gebruikt u een certificaatweergave-app van derden.
U kunt ook het OMADM-logboek van apparaten bekijken. Zoek naar vermeldingen die lijken op de volgende voorbeelden, die worden vastgelegd wanneer certificaten worden geïnstalleerd:
Basiscertificaat:
2018-02-27T04:50:52.1890000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine 9595 9 Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALL_REQUESTED
2018-02-27T04:53:31.1300000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine 9595 0 Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T04:53:32.0390000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine 9595 14 Root cert '17…' state changed from CERT_INSTALLING to CERT_INSTALL_SUCCESS
Certificaat ingericht via SCEP
2018-02-27T05:16:08.2500000 VERB Event com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager 18327 10 There are 1 requests
2018-02-27T05:16:08.2500000 VERB Event com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager 18327 10 Trying to enroll certificate request: ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787
2018-02-27T05:16:20.6150000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:20.6530000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Received '200 OK' when sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:21.7460000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.7890000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Received '200 OK' when sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:28.0340000 VERB Event org.jscep.transaction.EnrollmentTransaction 18327 10 Response: org.jscep.message.CertRep@3150777b[failInfo=<null>,pkiStatus=SUCCESS,recipientNonce=Nonce [GUID],messageData=org.spongycastle.cms.CMSSignedData@27cc8998,messageType=CERT_REP,senderNonce=Nonce [GUID],transId=TRANSID]
2018-02-27T05:16:28.2440000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine 18327 10 SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ENROLLED to CERT_INSTALL_REQUESTED
2018-02-27T05:18:44.9820000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine 18327 0 SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T05:18:45.3460000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine 18327 14 SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALLING to CERT_ACCESS_REQUESTED
2018-02-27T05:20:15.3520000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine 18327 21 SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ACCESS_REQUESTED to CERT_ACCESS_GRANTED
iOS/iPadOS
Op het iOS-/iPadOS- of iPadOS-apparaat kunt u het certificaat weergeven onder het Apparaatbeheer Profiel. Zoom in om de details voor geïnstalleerde certificaten te bekijken.
U kunt ook vermeldingen vinden die er ongeveer als volgt uitzien in het iOS-foutopsporingslogboek:
Debug 18:30:53.691033 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\
Debug 18:30:54.640644 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\
Debug 18:30:55.487908 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgMFADCABgkqhkiG9w0BBwGggCSABIIZfzCABgkqhkiG9w0BBwOggDCAAgEAMYIBgjCCAX4CAQAwZjBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxHDAaBgoJkiaJk/IsZAEZFgxmb3VydGhjb2ZmZWUxGDAWBgNVBAMTD0ZvdXJ0aENvZmZlZSBDQQITaAAAAAmaneVjEPlcTwAAAAAACTANBgkqhkiG9w0BAQEFAASCAQCqfsOYpuBToerQLkw/tl4tH9E+97TBTjGQN9NCjSgb78fF6edY0pNDU+PH4RB356wv3rfZi5IiNrVu5Od4k6uK4w0582ZM2n8NJFRY7KWSNHsmTIWlo/Vcr4laAtq5rw+CygaYcefptcaamkjdLj07e/Uk4KsetGo7ztPVjSEFwfRIfKv474dLDmPqp0ZwEWRQG
Debug 18:30:57.285730 -0500 profiled Adding dependent Microsoft.Profiles.MDM to parent www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 in domain ManagedProfileToManagingProfile to system\
Default 18:30:57.320616 -0500 profiled Profile \'93www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295\'94 installed.\
Windows
Controleer op een Windows-apparaat of het certificaat is geleverd:
Voer eventvwr.msc uit om Logboeken te openen. Ga naar Toepassingen en serviceslogboeken>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Beheer en zoek naar Gebeurtenis 39. Deze gebeurtenis moet een algemene beschrijving hebben van: SCEP: Certificaat geïnstalleerd.
Als u het certificaat op het apparaat wilt weergeven, voert u certmgr.msc uit om de CERTIFICATEN-MMC te openen en te controleren of de basis- en SCEP-certificaten correct zijn geïnstalleerd op het apparaat in het persoonlijke archief:
- Ga naar Certificaten (lokale computer)>Certificaten van vertrouwde basiscertificeringsinstanties> en controleer of het basiscertificaat van uw CA aanwezig is. De waarden voor Uitgegeven aan en Uitgegeven door zijn hetzelfde.
- Ga in de MMC Certificaten naar Certificaten – Huidigepersoonlijke>gebruikerscertificaten> en controleer of het aangevraagde certificaat aanwezig is, waarbij Issued By gelijk is aan de naam van de CA.
Fouten oplossen
Android
Als u problemen met de levering van certificaten wilt oplossen, controleert u fouten die zijn vastgelegd in het OMA DM-logboek.
iOS/iPadOS
Bekijk fouten die zijn vastgelegd in het foutopsporingslogboek van apparaten om problemen met de levering van certificaten op te lossen.
Windows
Als u problemen wilt oplossen waarbij het certificaat niet op het apparaat wordt geïnstalleerd, zoekt u in het Windows-gebeurtenislogboek naar fouten die problemen suggereren:
- Voer op het apparaat eventvwr.msc uit om Logboeken te openen en ga vervolgens naar Logboeken> van toepassingen en servicesMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Beheer.
Fouten bij de levering en installatie van het certificaat op het apparaat hebben meestal betrekking op Windows-bewerkingen en niet op Intune.
Volgende stappen
Als het certificaat op het apparaat is geïmplementeerd, maar Intune geen succes rapporteert, raadpleegt u NDES-rapportage aan Intune om problemen met rapportage op te lossen.