Delen via


Problemen met de levering van certificaten die door SCEP zijn ingericht voor apparaten in Microsoft Intune

In dit artikel vindt u richtlijnen voor probleemoplossing waarmee u de levering van certificaten op apparaten kunt onderzoeken wanneer u SCEP (Simple Certificate Enrollment Protocol) gebruikt om certificaten in te richten in Intune. Nadat de NDES-server (Network Device Enrollment Service) het aangevraagde certificaat voor een apparaat van de certificeringsinstantie (CA) heeft ontvangen, wordt dat certificaat teruggegeven aan het apparaat.

Dit artikel is van toepassing op stap 5 van de SCEP-communicatiewerkstroom; levering van het certificaat aan het apparaat dat de certificaataanvraag heeft ingediend.

De certificeringsinstantie controleren

Wanneer de CA het certificaat heeft uitgegeven, ziet u een vermelding die vergelijkbaar is met het volgende voorbeeld op de CA:

Schermopname van een voorbeeld van uitgegeven certificaten.

Het apparaat controleren

Android

Voor apparaten die door een apparaatbeheerder zijn ingeschreven, ziet u een melding die vergelijkbaar is met de volgende afbeelding, waarin u wordt gevraagd het certificaat te installeren:

Schermopname van een Android-melding.

Voor Android Enterprise of Samsung Knox is de installatie van het certificaat automatisch en stil.

Als u een geïnstalleerd certificaat op Android wilt weergeven, gebruikt u een certificaatweergave-app van derden.

U kunt ook het OMADM-logboek van apparaten bekijken. Zoek naar vermeldingen die lijken op de volgende voorbeelden, die worden vastgelegd wanneer certificaten worden geïnstalleerd:

Basiscertificaat:

2018-02-27T04:50:52.1890000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        9    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALL_REQUESTED
2018-02-27T04:53:31.1300000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        0    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T04:53:32.0390000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595       14    Root cert '17…' state changed from CERT_INSTALLING to CERT_INSTALL_SUCCESS

Certificaat ingericht via SCEP

2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    There are 1 requests
2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    Trying to enroll certificate request: ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787
2018-02-27T05:16:20.6150000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:20.6530000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:21.7460000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.7890000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:28.0340000    VERB    Event     org.jscep.transaction.EnrollmentTransaction    18327       10    Response: org.jscep.message.CertRep@3150777b[failInfo=<null>,pkiStatus=SUCCESS,recipientNonce=Nonce [GUID],messageData=org.spongycastle.cms.CMSSignedData@27cc8998,messageType=CERT_REP,senderNonce=Nonce [GUID],transId=TRANSID]
2018-02-27T05:16:28.2440000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       10    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ENROLLED to CERT_INSTALL_REQUESTED
2018-02-27T05:18:44.9820000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327        0    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T05:18:45.3460000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       14    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALLING to CERT_ACCESS_REQUESTED
2018-02-27T05:20:15.3520000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       21    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ACCESS_REQUESTED to CERT_ACCESS_GRANTED

iOS/iPadOS

Op het iOS-/iPadOS- of iPadOS-apparaat kunt u het certificaat weergeven onder het Apparaatbeheer Profiel. Zoom in om de details voor geïnstalleerde certificaten te bekijken.

Schermopname van iOS-certificaten onder het Apparaatbeheer Profiel.

U kunt ook vermeldingen vinden die er ongeveer als volgt uitzien in het iOS-foutopsporingslogboek:

Debug 18:30:53.691033 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\  
Debug 18:30:54.640644 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
Debug 18:30:55.487908 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgMFADCABgkqhkiG9w0BBwGggCSABIIZfzCABgkqhkiG9w0BBwOggDCAAgEAMYIBgjCCAX4CAQAwZjBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxHDAaBgoJkiaJk/IsZAEZFgxmb3VydGhjb2ZmZWUxGDAWBgNVBAMTD0ZvdXJ0aENvZmZlZSBDQQITaAAAAAmaneVjEPlcTwAAAAAACTANBgkqhkiG9w0BAQEFAASCAQCqfsOYpuBToerQLkw/tl4tH9E+97TBTjGQN9NCjSgb78fF6edY0pNDU+PH4RB356wv3rfZi5IiNrVu5Od4k6uK4w0582ZM2n8NJFRY7KWSNHsmTIWlo/Vcr4laAtq5rw+CygaYcefptcaamkjdLj07e/Uk4KsetGo7ztPVjSEFwfRIfKv474dLDmPqp0ZwEWRQG 
Debug 18:30:57.285730 -0500 profiled Adding dependent Microsoft.Profiles.MDM to parent www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 in domain ManagedProfileToManagingProfile to system\ 
Default 18:30:57.320616 -0500 profiled Profile \'93www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295\'94 installed.\ 

Windows

Controleer op een Windows-apparaat of het certificaat is geleverd:

  • Voer eventvwr.msc uit om Logboeken te openen. Ga naar Toepassingen en serviceslogboeken>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Beheer en zoek naar Gebeurtenis 39. Deze gebeurtenis moet een algemene beschrijving hebben van: SCEP: Certificaat geïnstalleerd.

    Schermopname van gebeurtenis 39 in het Windows-toepassingslogboek.

Als u het certificaat op het apparaat wilt weergeven, voert u certmgr.msc uit om de CERTIFICATEN-MMC te openen en te controleren of de basis- en SCEP-certificaten correct zijn geïnstalleerd op het apparaat in het persoonlijke archief:

  1. Ga naar Certificaten (lokale computer)>Certificaten van vertrouwde basiscertificeringsinstanties> en controleer of het basiscertificaat van uw CA aanwezig is. De waarden voor Uitgegeven aan en Uitgegeven door zijn hetzelfde.
  2. Ga in de MMC Certificaten naar Certificaten – Huidigepersoonlijke>gebruikerscertificaten> en controleer of het aangevraagde certificaat aanwezig is, waarbij Issued By gelijk is aan de naam van de CA.

Fouten oplossen

Android

Als u problemen met de levering van certificaten wilt oplossen, controleert u fouten die zijn vastgelegd in het OMA DM-logboek.

iOS/iPadOS

Bekijk fouten die zijn vastgelegd in het foutopsporingslogboek van apparaten om problemen met de levering van certificaten op te lossen.

Windows

Als u problemen wilt oplossen waarbij het certificaat niet op het apparaat wordt geïnstalleerd, zoekt u in het Windows-gebeurtenislogboek naar fouten die problemen suggereren:

  • Voer op het apparaat eventvwr.msc uit om Logboeken te openen en ga vervolgens naar Logboeken> van toepassingen en servicesMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Beheer.

Fouten bij de levering en installatie van het certificaat op het apparaat hebben meestal betrekking op Windows-bewerkingen en niet op Intune.

Volgende stappen

Als het certificaat op het apparaat is geïmplementeerd, maar Intune geen succes rapporteert, raadpleegt u NDES-rapportage aan Intune om problemen met rapportage op te lossen.