Rozwiązywanie problemów z dostarczaniem certyfikatów aprowizowanych przez protokół SCEP do urządzeń w Microsoft Intune
Ten artykuł zawiera wskazówki dotyczące rozwiązywania problemów ułatwiające badanie dostarczania certyfikatów do urządzeń w przypadku korzystania z protokołu SCEP (Simple Certificate Enrollment Protocol) do aprowizowania certyfikatów w Intune. Po otrzymaniu przez serwer usługi rejestracji urządzeń sieciowych (NDES) żądanego certyfikatu dla urządzenia z urzędu certyfikacji przekazuje ten certyfikat z powrotem do urządzenia.
Ten artykuł dotyczy kroku 5 przepływu pracy komunikacji SCEP. dostarczenie certyfikatu do urządzenia, które przesłało żądanie certyfikatu.
Przejrzyj urząd certyfikacji
Po wystawieniu certyfikatu przez urząd certyfikacji zostanie wyświetlony wpis podobny do następującego przykładu w urzędzie certyfikacji:
Przeglądanie urządzenia
Android
W przypadku urządzeń zarejestrowanych przez administratora urządzeń zostanie wyświetlone powiadomienie podobne do poniższego obrazu, które wyświetli monit o zainstalowanie certyfikatu:
W przypadku systemu Android Enterprise lub Samsung Knox instalacja certyfikatu jest automatyczna i dyskretna.
Aby wyświetlić zainstalowany certyfikat w systemie Android, użyj aplikacji do wyświetlania certyfikatów innej firmy.
Możesz również przejrzeć dziennik OMADM urządzeń. Wyszukaj wpisy podobne do następujących przykładów, które są rejestrowane podczas instalowania certyfikatów:
Certyfikat główny:
2018-02-27T04:50:52.1890000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine 9595 9 Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALL_REQUESTED
2018-02-27T04:53:31.1300000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine 9595 0 Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T04:53:32.0390000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine 9595 14 Root cert '17…' state changed from CERT_INSTALLING to CERT_INSTALL_SUCCESS
Certyfikat aprowizowany za pośrednictwem protokołu SCEP
2018-02-27T05:16:08.2500000 VERB Event com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager 18327 10 There are 1 requests
2018-02-27T05:16:08.2500000 VERB Event com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager 18327 10 Trying to enroll certificate request: ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787
2018-02-27T05:16:20.6150000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:20.6530000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Received '200 OK' when sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:21.7460000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.7890000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Received '200 OK' when sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:28.0340000 VERB Event org.jscep.transaction.EnrollmentTransaction 18327 10 Response: org.jscep.message.CertRep@3150777b[failInfo=<null>,pkiStatus=SUCCESS,recipientNonce=Nonce [GUID],messageData=org.spongycastle.cms.CMSSignedData@27cc8998,messageType=CERT_REP,senderNonce=Nonce [GUID],transId=TRANSID]
2018-02-27T05:16:28.2440000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine 18327 10 SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ENROLLED to CERT_INSTALL_REQUESTED
2018-02-27T05:18:44.9820000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine 18327 0 SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T05:18:45.3460000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine 18327 14 SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALLING to CERT_ACCESS_REQUESTED
2018-02-27T05:20:15.3520000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine 18327 21 SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ACCESS_REQUESTED to CERT_ACCESS_GRANTED
iOS/iPadOS
Na urządzeniu z systemem iOS/iPadOS lub iPadOS możesz wyświetlić certyfikat w obszarze profilu Zarządzanie urządzeniami. Przejdź do szczegółów zainstalowanych certyfikatów.
W dzienniku debugowania systemu iOS można również znaleźć wpisy podobne do następujących:
Debug 18:30:53.691033 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\
Debug 18:30:54.640644 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\
Debug 18:30:55.487908 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgMFADCABgkqhkiG9w0BBwGggCSABIIZfzCABgkqhkiG9w0BBwOggDCAAgEAMYIBgjCCAX4CAQAwZjBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxHDAaBgoJkiaJk/IsZAEZFgxmb3VydGhjb2ZmZWUxGDAWBgNVBAMTD0ZvdXJ0aENvZmZlZSBDQQITaAAAAAmaneVjEPlcTwAAAAAACTANBgkqhkiG9w0BAQEFAASCAQCqfsOYpuBToerQLkw/tl4tH9E+97TBTjGQN9NCjSgb78fF6edY0pNDU+PH4RB356wv3rfZi5IiNrVu5Od4k6uK4w0582ZM2n8NJFRY7KWSNHsmTIWlo/Vcr4laAtq5rw+CygaYcefptcaamkjdLj07e/Uk4KsetGo7ztPVjSEFwfRIfKv474dLDmPqp0ZwEWRQG
Debug 18:30:57.285730 -0500 profiled Adding dependent Microsoft.Profiles.MDM to parent www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 in domain ManagedProfileToManagingProfile to system\
Default 18:30:57.320616 -0500 profiled Profile \'93www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295\'94 installed.\
System Windows
Na urządzeniu z systemem Windows sprawdź, czy certyfikat został dostarczony:
Uruchom plik eventvwr.msc, aby otworzyć Podgląd zdarzeń. Przejdź do obszaru Dzienniki> aplikacji i usługMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Administracja i poszukaj zdarzenia 39. To zdarzenie powinno mieć ogólny opis: SCEP: Pomyślnie zainstalowano certyfikat.
Aby wyświetlić certyfikat na urządzeniu, uruchom plik certmgr.msc , aby otworzyć mmc certyfikatów i sprawdzić, czy certyfikaty główne i SCEP są poprawnie zainstalowane na urządzeniu w magazynie osobistym:
- Przejdź do pozycji Certyfikaty (komputer lokalny)>Certyfikaty zaufanych głównych urzędów> certyfikacji i sprawdź, czy certyfikat główny urzędu certyfikacji jest obecny. Wartości wystawionych dla i wystawionych przez będą takie same.
- W programie MMC Certyfikaty przejdź do pozycji Certyfikaty — certyfikatyosobiste> bieżącego użytkownika > i sprawdź, czy żądany certyfikat jest obecny z wartością Wystawiony przez równą nazwie urzędu certyfikacji.
Rozwiązywanie problemów z błędami
Android
Aby rozwiązać problemy z dostarczaniem certyfikatów, przejrzyj błędy zarejestrowane w dzienniku usługi OMA DM.
iOS/iPadOS
Aby rozwiązać problemy z dostarczaniem certyfikatów, przejrzyj błędy zarejestrowane w dzienniku debugowania urządzeń.
System Windows
Aby rozwiązać problemy z certyfikatem, który nie jest zainstalowany na urządzeniu, wyszukaj w dzienniku zdarzeń systemu Windows błędy sugerujące problemy:
- Na urządzeniu uruchom plik eventvwr.msc, aby otworzyć Podgląd zdarzeń, a następnie przejdź do pozycji Dzienniki> aplikacji i usługMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Administracja.
Błędy związane z dostarczaniem i instalacją certyfikatu na urządzeniu są zwykle związane z operacjami systemu Windows, a nie z Intune.
Następne kroki
Jeśli certyfikat zostanie pomyślnie wdrożony na urządzeniu, ale Intune nie zgłosi powodzenia, zobacz Raportowanie usługi NDES do Intune w celu rozwiązywania problemów z raportowaniem.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla