Udostępnij za pośrednictwem

Rozwiązywanie problemów z dostarczaniem certyfikatów aprowizowanych przez protokół SCEP do urządzeń w Microsoft Intune

  • Artykuł

Ten artykuł zawiera wskazówki dotyczące rozwiązywania problemów ułatwiające badanie dostarczania certyfikatów do urządzeń w przypadku korzystania z protokołu SCEP (Simple Certificate Enrollment Protocol) do aprowizowania certyfikatów w Intune. Po otrzymaniu przez serwer usługi rejestracji urządzeń sieciowych (NDES) żądanego certyfikatu dla urządzenia z urzędu certyfikacji przekazuje ten certyfikat z powrotem do urządzenia.

Ten artykuł dotyczy kroku 5 przepływu pracy komunikacji SCEP. dostarczenie certyfikatu do urządzenia, które przesłało żądanie certyfikatu.

Przejrzyj urząd certyfikacji

Po wystawieniu certyfikatu przez urząd certyfikacji zostanie wyświetlony wpis podobny do następującego przykładu w urzędzie certyfikacji:

Zrzut ekranu przedstawiający przykład wystawionych certyfikatów.

Przeglądanie urządzenia

Android

W przypadku urządzeń zarejestrowanych przez administratora urządzeń zostanie wyświetlone powiadomienie podobne do poniższego obrazu, które wyświetli monit o zainstalowanie certyfikatu:

Zrzut ekranu przedstawiający powiadomienie systemu Android.

W przypadku systemu Android Enterprise lub Samsung Knox instalacja certyfikatu jest automatyczna i dyskretna.

Aby wyświetlić zainstalowany certyfikat w systemie Android, użyj aplikacji do wyświetlania certyfikatów innej firmy.

Możesz również przejrzeć dziennik OMADM urządzeń. Wyszukaj wpisy podobne do następujących przykładów, które są rejestrowane podczas instalowania certyfikatów:

Certyfikat główny:

2018-02-27T04:50:52.1890000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        9    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALL_REQUESTED
2018-02-27T04:53:31.1300000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        0    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T04:53:32.0390000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595       14    Root cert '17…' state changed from CERT_INSTALLING to CERT_INSTALL_SUCCESS

Certyfikat aprowizowany za pośrednictwem protokołu SCEP

2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    There are 1 requests
2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    Trying to enroll certificate request: ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787
2018-02-27T05:16:20.6150000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:20.6530000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:21.7460000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.7890000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:28.0340000    VERB    Event     org.jscep.transaction.EnrollmentTransaction    18327       10    Response: org.jscep.message.CertRep@3150777b[failInfo=<null>,pkiStatus=SUCCESS,recipientNonce=Nonce [GUID],messageData=org.spongycastle.cms.CMSSignedData@27cc8998,messageType=CERT_REP,senderNonce=Nonce [GUID],transId=TRANSID]
2018-02-27T05:16:28.2440000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       10    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ENROLLED to CERT_INSTALL_REQUESTED
2018-02-27T05:18:44.9820000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327        0    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T05:18:45.3460000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       14    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALLING to CERT_ACCESS_REQUESTED
2018-02-27T05:20:15.3520000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       21    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ACCESS_REQUESTED to CERT_ACCESS_GRANTED

iOS/iPadOS

Na urządzeniu z systemem iOS/iPadOS lub iPadOS możesz wyświetlić certyfikat w obszarze profilu Zarządzanie urządzeniami. Przejdź do szczegółów zainstalowanych certyfikatów.

Zrzut ekranu przedstawiający certyfikaty systemu iOS w ramach profilu Zarządzanie urządzeniami.

W dzienniku debugowania systemu iOS można również znaleźć wpisy podobne do następujących:

Debug 18:30:53.691033 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\  
Debug 18:30:54.640644 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
Debug 18:30:55.487908 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgMFADCABgkqhkiG9w0BBwGggCSABIIZfzCABgkqhkiG9w0BBwOggDCAAgEAMYIBgjCCAX4CAQAwZjBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxHDAaBgoJkiaJk/IsZAEZFgxmb3VydGhjb2ZmZWUxGDAWBgNVBAMTD0ZvdXJ0aENvZmZlZSBDQQITaAAAAAmaneVjEPlcTwAAAAAACTANBgkqhkiG9w0BAQEFAASCAQCqfsOYpuBToerQLkw/tl4tH9E+97TBTjGQN9NCjSgb78fF6edY0pNDU+PH4RB356wv3rfZi5IiNrVu5Od4k6uK4w0582ZM2n8NJFRY7KWSNHsmTIWlo/Vcr4laAtq5rw+CygaYcefptcaamkjdLj07e/Uk4KsetGo7ztPVjSEFwfRIfKv474dLDmPqp0ZwEWRQG 
Debug 18:30:57.285730 -0500 profiled Adding dependent Microsoft.Profiles.MDM to parent www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 in domain ManagedProfileToManagingProfile to system\ 
Default 18:30:57.320616 -0500 profiled Profile \'93www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295\'94 installed.\

System Windows

Na urządzeniu z systemem Windows sprawdź, czy certyfikat został dostarczony:

  • Uruchom plik eventvwr.msc, aby otworzyć Podgląd zdarzeń. Przejdź do obszaru Dzienniki> aplikacji i usługMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Administracja i poszukaj zdarzenia 39. To zdarzenie powinno mieć ogólny opis: SCEP: Pomyślnie zainstalowano certyfikat.

    Zrzut ekranu przedstawiający zdarzenie 39 w dzienniku aplikacji systemu Windows.

Aby wyświetlić certyfikat na urządzeniu, uruchom plik certmgr.msc , aby otworzyć mmc certyfikatów i sprawdzić, czy certyfikaty główne i SCEP są poprawnie zainstalowane na urządzeniu w magazynie osobistym:

  1. Przejdź do pozycji Certyfikaty (komputer lokalny)>Certyfikaty zaufanych głównych urzędów> certyfikacji i sprawdź, czy certyfikat główny urzędu certyfikacji jest obecny. Wartości wystawionych dla i wystawionych przez będą takie same.
  2. W programie MMC Certyfikaty przejdź do pozycji Certyfikaty — certyfikatyosobiste> bieżącego użytkownika > i sprawdź, czy żądany certyfikat jest obecny z wartością Wystawiony przez równą nazwie urzędu certyfikacji.

Rozwiązywanie problemów z błędami

Android

Aby rozwiązać problemy z dostarczaniem certyfikatów, przejrzyj błędy zarejestrowane w dzienniku usługi OMA DM.

iOS/iPadOS

Aby rozwiązać problemy z dostarczaniem certyfikatów, przejrzyj błędy zarejestrowane w dzienniku debugowania urządzeń.

System Windows

Aby rozwiązać problemy z certyfikatem, który nie jest zainstalowany na urządzeniu, wyszukaj w dzienniku zdarzeń systemu Windows błędy sugerujące problemy:

  • Na urządzeniu uruchom plik eventvwr.msc, aby otworzyć Podgląd zdarzeń, a następnie przejdź do pozycji Dzienniki> aplikacji i usługMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Administracja.

Błędy związane z dostarczaniem i instalacją certyfikatu na urządzeniu są zwykle związane z operacjami systemu Windows, a nie z Intune.

Następne kroki

Jeśli certyfikat zostanie pomyślnie wdrożony na urządzeniu, ale Intune nie zgłosi powodzenia, zobacz Raportowanie usługi NDES do Intune w celu rozwiązywania problemów z raportowaniem.