Solução de problemas do dispositivo para a comunicação do servidor NDES para perfis de certificado SCEP em Microsoft Intune

Use as informações a seguir para determinar se um dispositivo que recebeu e processou um perfil de certificado SCEP (Protocolo de Registro de Certificado Simples) Intune pode entrar em contato com o NDES (Serviço de Registro de Dispositivo de Rede) com êxito para apresentar um desafio. No dispositivo, uma chave privada é gerada e a solicitação de assinatura de certificado (CSR) e o desafio são passados do dispositivo para o servidor NDES. Para entrar em contato com o servidor NDES, o dispositivo usa o URI do perfil de certificado SCEP.

Este artigo faz referência à etapa 2 da visão geral do fluxo de comunicação do SCEP.

Examine os logs do IIS para obter uma conexão do dispositivo

Os arquivos de log do IIS (Serviços de Informações da Internet) incluem o mesmo tipo de entradas para todas as plataformas.

1. No servidor NDES, abra o arquivo de log do IIS mais recente encontrado na pasta a seguir: %SystemDrive%\inetpub\logs\logfiles\w3svc1

2. Pesquise no log entradas semelhantes aos exemplos a seguir. Ambos os exemplos contêm um status 200, que aparece perto do final:

   fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACaps&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 186 0.

   And

   fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACert&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 3567 0

3. Quando o dispositivo entra em contato com o IIS, uma solicitação HTTP GET para mscep.dll é registrada.

   Examine o código status perto do final desta solicitação:

   • Código de status de 200: este status indica que a conexão com o servidor NDES foi bem-sucedida.

   • Código de status de 500: o grupo IIS_IUSRS pode não ter permissões corretas. Consulte Solucionar problemas status código 500, posteriormente neste artigo.

   • Se o código status não for 200 ou 500:

     • Consulte Testar e solucionar problemas da URL do servidor SCEP mais adiante neste artigo para ajudar a validar a configuração.

     • Consulte o código http status no IIS 7 e versões posteriores para obter informações sobre códigos de erro menos comuns.

   Se a solicitação de conexão não for registrada, o contato do dispositivo poderá ser bloqueado na rede entre o dispositivo e o servidor NDES.

Examinar logs de dispositivo para conexões com o NDES

Dispositivos Android

Examine o log OMADM dos dispositivos. Procure entradas que se assemelham aos exemplos a seguir, que são registrados quando o dispositivo se conecta ao NDES:

2018-02-27T05:16:08.2500000  VERB  Event  com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager  18327    10  There are 1 requests
2018-02-27T05:16:08.2500000  VERB  Event  com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager  18327    10  Trying to enroll certificate request: ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c;Hash=1677525787
2018-02-27T05:16:09.5530000  VERB  Event  org.jscep.transport.UrlConnectionGetTransport  18327    10  Sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:14.6440000  VERB  Event  org.jscep.transport.UrlConnectionGetTransport  18327    10  Received '200 OK' when sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.8220000  VERB  Event  org.jscep.message.PkiMessageEncoder  18327     10 Encoding message: org.jscep.message.PkcsReq@2b06f45f[messageData=org.<server>.pkcs.PKCS10CertificationRequest@699b3cd,messageType=PKCS_REQ,senderNonce=Nonce [D447AE9955E624A56A09D64E2B3AE76E],transId=251E592A777C82996C7CF96F3AAADCF996FC31FF]
2018-02-27T05:16:21.8790000  VERB  Event  org.jscep.message.PkiMessageEncoder  18327     10  Signing pkiMessage using key belonging to [dn=CN=<uesrname>; serial=1]
2018-02-27T05:16:21.9580000  VERB  Event  org.jscep.transaction.EnrollmentTransaction  18327     10  Sending org.<server>.cms.CMSSignedData@ad57775

As entradas principais incluem as seguintes cadeias de caracteres de texto de exemplo:

• Há 1 solicitação
• Recebido '200 OK' ao enviar GetCACaps(ca) para https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
• Assinar pkiMessage usando chave pertencente a [dn=CN=<username>; serial=1]

A conexão também é registrada pelo IIS na pasta %SystemDrive%\inetpub\logs\LogFiles\W3SVC1\ do servidor NDES. Veja abaixo um exemplo:

fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACert&message=ca 443 - 
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 3909 0
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACaps&message=ca 443 - 
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 421

Dispositivos iOS/iPadOS

Examine o log de depuração de dispositivos. Procure entradas que se assemelham aos exemplos a seguir, que são registrados quando o dispositivo se conecta ao NDES:

debug    18:30:53.691033 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\ 
debug    18:30:54.640644 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
default    18:30:55.483977 -0500    profiled    Attempting to retrieve issued certificate...\ 
debug    18:30:55.487798 -0500    profiled    Sending CSR via GET.\  
debug    18:30:55.487908 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=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

As entradas principais incluem as seguintes cadeias de caracteres de texto de exemplo:

• operation=GetCACert
• Tentando recuperar o certificado emitido
• Enviar CSR via GET
• operation=PKIOperation

Dispositivos Windows

Em um dispositivo Windows que está fazendo uma conexão com o NDES, você pode exibir os dispositivos Windows Visualizador de Eventos e procurar indicações de uma conexão bem-sucedida. Connections são registrados como uma ID de evento 36 nos dispositivos DeviceManagement-Enterprise-Diagnostics-Provide>Administração log.

Para abrir o log:

1. No dispositivo, execute eventvwr.msc para abrir o Windows Visualizador de Eventos.

2. Expanda Logs de Aplicativos e Serviços>Microsoft Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Administração.>

3. Procure o Evento 36, que se assemelha ao exemplo a seguir, com a linha de chave do SCEP: solicitação de certificado gerada com êxito:

   Event ID:      36
   Task Category: None
   Level:         Information
   Keywords:
   User:          <UserSid>
   Computer:      <Computer Name>
   Description:
   SCEP: Certificate request generated successfully. Enhanced Key Usage: (1.3.6.1.5.5.7.3.2), NDES URL: (https://<server>/certsrv/mscep/mscep.dll/pkiclient.exe), Container Name: (), KSP Setting: (0x2), Store Location: (0x1).
   

Solucionar problemas status código 500

Connections que se assemelham ao exemplo a seguir, com um código status de 500, indicam que a representação de um cliente após o direito do usuário de autenticação não é atribuída ao grupo IIS_IUSRS no servidor NDES. O valor status de 500 aparece no final:

2017-08-08 20:22:16 IP_address GET /certsrv/mscep/mscep.dll operation=GetCACert&message=SCEP%20Authority 443 - 10.5.14.22 profiled/1.0+CFNetwork/811.5.4+Darwin/16.6.0 - 500 0 1346 31

Conclua as seguintes etapas para corrigir este problema:

1. No servidor NDES, execute secpol.msc para abrir a Política de Segurança Local.
2. Expanda Políticas Locais e selecione Atribuição de Direitos de Usuário.
3. Clique duas vezes em Representar um cliente após a autenticação no painel direito.
4. Selecione Adicionar Usuário ou Grupo..., insira IIS_IUSRS na caixa Inserir os nomes do objeto e selecione OK.
5. Selecione OK.
6. Reinicie o computador e tente a conexão do dispositivo novamente.

Testar e solucionar problemas da URL do servidor SCEP

Use as etapas a seguir para testar a URL especificada no perfil de certificado SCEP.

1. Em Intune, edite seu perfil de certificado SCEP e copie a URL do Servidor. A URL deve se assemelhar https://contoso.com/certsrv/mscep/mscep.dlla .

2. Abra um navegador da Web e navegue até a URL do servidor SCEP. O resultado deve ser: Erro HTTP 403.0 – Proibido. Esse resultado indica que a URL está funcionando corretamente.

   Se você não receber esse erro, selecione o link que se assemelha ao erro que você vê para exibir diretrizes específicas do problema:

   • Recebo uma mensagem geral do Serviço de Registro de Dispositivo de Rede
   • Recebo "Erro HTTP 503. O serviço não está disponível"
   • Recebo o erro "GatewayTimeout"
   • Recebo "HTTP 414 Request-URI muito longo"
   • Recebo "Esta página não pode ser exibida"
   • Recebo "500 – Erro interno do servidor"

Mensagem geral do NDES

Ao navegar até a URL do servidor SCEP, você recebe a seguinte mensagem do Serviço de Registro de Dispositivo de Rede:

• Causa: esse problema geralmente é um problema com a instalação do Conector Microsoft Intune.

  Mscep.dll é uma extensão ISAPI que intercepta a solicitação de entrada e exibe o erro HTTP 403 se ele estiver instalado corretamente.

  Solução: examine o arquivo SetupMsi.log para determinar se Microsoft Intune Conector está instalado com êxito. No exemplo a seguir, a instalação foi concluída com êxito e o sucesso da instalação ou erro status: 0 indicam uma instalação bem-sucedida:

  MSI (c) (28:54) [16:13:11:905]: Product: Microsoft Intune Connector -- Installation completed successfully.
  MSI (c) (28:54) [16:13:11:999]: Windows Installer installed the product. Product Name: Microsoft Intune Connector. Product Version: 6.1711.4.0. Product Language: 1033. Manufacturer: Microsoft Corporation. Installation success or error status: 0.
  

  Se a instalação falhar, remova o conector Microsoft Intune e reinstale-o. Se a instalação tiver sido bem-sucedida e você continuar recebendo a mensagem geral do NDES, execute o comando iisreset para reiniciar o IIS.

Erro HTTP 503

Ao navegar até a URL do servidor SCEP, você recebe o seguinte erro:

Esse problema geralmente ocorre porque o pool de aplicativos SCEP no IIS não é iniciado. No servidor NDES, abra o Gerenciador do IIS e vá para Pools de Aplicativos. Localize o pool de aplicativos SCEP e confirme se ele foi iniciado.

Se o pool de aplicativos SCEP não for iniciado, marcar o log de eventos do aplicativo no servidor:

1. No dispositivo, execute eventvwr.msc para abrir Visualizador de Eventos e ir parao Aplicativode Logs> do Windows.

2. Procure um evento semelhante ao exemplo a seguir, o que significa que o pool de aplicativos falha quando uma solicitação é recebida:

   Log Name:      Application
   Source:        Application Error
   Event ID:      1000
   Task Category: Application Crashing Events
   Level:         Error
   Keywords:      Classic
   Description: Faulting application name: w3wp.exe, version: 8.5.9600.16384, time stamp: 0x5215df96
   Faulting module name: ntdll.dll, version: 6.3.9600.18821, time stamp: 0x59ba86db
   Exception code: 0xc0000005
   

Causas comuns para uma falha no pool de aplicativos

• Causa 1: há certificados de AC intermediários (não autoassinados) no repositório de certificados autoridades de certificação raiz confiáveis do servidor NDES.

  Solução: remova certificados intermediários do repositório de certificados autoridades de certificação raiz confiáveis e reinicie o servidor NDES.

  Para identificar todos os certificados intermediários no repositório de certificados autoridades de certificação raiz confiáveis, execute o seguinte cmdlet do PowerShell: Get-Childitem -Path cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject}

  Um certificado que tem o mesmo emitido e emitido por valores é um certificado raiz. Caso contrário, é um certificado intermediário.

  Depois de remover certificados e reiniciar o servidor, execute o cmdlet do PowerShell novamente para confirmar que não há certificados intermediários. Se houver, marcar se um Política de Grupo envia os certificados intermediários para o servidor NDES. Nesse caso, exclua o servidor NDES do Política de Grupo e remova os certificados intermediários novamente.

• Causa 2: as URLs na CRL (Lista de Revogação de Certificados) são bloqueadas ou inacessíveis para os certificados que são usados pelo Conector de Certificado Intune.

  Solução: habilitar o registro em log adicional para coletar mais informações:

  1. Abra Visualizador de Eventos, selecione Exibir, verifique se a opção Mostrar Logs de Análise e Depuração está marcada.
  2. Acesse Logs de Aplicativos e Serviços>Microsoft>Windows>CAPI2>Operacional, clique com o botão direito do mouse em Operacional e selecione Habilitar Log.
  3. Depois que o log CAPI2 estiver habilitado, reproduza o problema e examine o log de eventos para solucionar o problema.

• Causa 3: a permissão do IIS no CertificateRegistrationSvc tem a Autenticação do Windows habilitada.

  Solução: habilite a Autenticação Anônima e desabilite a Autenticação do Windows e reinicie o servidor NDES.

  

• Causa 4: o certificado do módulo NDESPolicy expirou.

  O log CAPI2 (consulte A solução da Causa 2) mostrará erros relacionados ao certificado referenciado por HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint estar fora do período de validade do certificado.

  Solução: renove o certificado e reinstale o conector.

  1. Use certlm.msc para abrir o repositório de certificados de computador local, expanda Pessoal e selecione Certificados.

  2. Na lista de certificados, localize um certificado expirado que satisfaça as seguintes condições:

     • O valor de Propósitos Pretendidos é Autenticação do Cliente.
     • O valor de Nome Emitido ouComum corresponde ao nome do servidor NDES.

     Observação

     O EKU (uso de chave estendida) da Autenticação do Cliente é necessário. Sem esse EKU, CertificateRegistrationSvc retornará uma resposta HTTP 403 às solicitações NDESPlugin. Essa resposta será registrada nos logs do IIS.

  3. Clique duas vezes no certificado. Na caixa de diálogo Certificado , selecione a guia Detalhes , localize o campo Impressão digital e verifique se o valor corresponde ao valor da subchave do HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint registro.

  4. Selecione OK para fechar a caixa de diálogo Certificado .

  5. Clique com o botão direito do mouse no certificado, selecione Todas as Tarefas e selecione Certificado de Solicitação com Nova Chave ou Renovar Certificado com Nova Chave.

  6. Na página Registro de Certificados , selecione Avançar, selecione o modelo SSL correto e selecione Mais informações são necessárias para registrar esse certificado. Clique aqui para configurar as configurações.

  7. Na caixa de diálogo Propriedades do Certificado , selecione a guia Assunto e execute as seguintes etapas:

     1. Em Nome do assunto, na caixa suspensa Tipo , selecione Nome Comum. Na caixa Valor , insira o FQDN (nome de domínio totalmente qualificado) do servidor NDES. Em seguida, selecione OK.
     2. Em Nome alternativo, na caixa suspensa Tipo , selecione DNS. Na caixa Valor , insira o FQDN do servidor NDES. Em seguida, selecione OK.
     3. Selecione OK para fechar a caixa de diálogo Propriedades do Certificado .

  8. Selecione Registrar, aguarde até que o registro seja concluído com êxito e selecione Concluir.

  9. Reinstale o conector de certificado Intune para vinculá-lo ao certificado recém-criado. Para obter mais informações, confira Instalar o Certificate Connector para Microsoft Intune.

  10. Depois de fechar a interface do usuário do Conector de Certificados, reinicie o Serviço Intune Conector e o Serviço de Publicação web em todo o mundo.

GatewayTimeout

Ao navegar até a URL do servidor SCEP, você recebe o seguinte erro:

• Causa: o serviço conector de proxy de aplicativo Microsoft Entra não foi iniciado.

  Solução: execute services.msc e verifique se o serviço de conector proxy de aplicativo Microsoft Entra está em execução e o Tipo de Inicialização está definido como Automático.

HTTP 414 Request-URI muito longo

Ao navegar até a URL do servidor SCEP, você recebe o seguinte erro: HTTP 414 Request-URI Too Long

• Causa: a filtragem de solicitação do IIS não está configurada para dar suporte às URLs longas (consultas) que o serviço NDES recebe. Esse suporte é configurado quando você configura o serviço NDES para uso com sua infraestrutura para SCEP.

• Solução: configurar o suporte para URLs longas.

  1. No servidor NDES, abra o gerenciador do IIS, selecione Configuração deRecurso de Edição de Edição deSolicitação> de Site > Padrão para abrir a página Editar Configurações de Filtragem de Solicitação.

  2. Defina as seguinte configurações:

     • Comprimento máximo da URL (Bytes) = 65534
     • Cadeia de caracteres de consulta máxima (Bytes) = 65534

  3. Selecione OK para salvar essa configuração e fechar o gerenciador do IIS.

  4. Valide essa configuração localizando a seguinte chave do registro para confirmar se ela tem os valores indicados:

     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

     Os seguintes valores são definidos como entradas DWORD:

     • Nome: MaxFieldLength, com um valor decimal de 65534
     • Nome: MaxRequestBytes, com um valor decimal de 65534

  5. Reinicie o servidor NDES.

Esta página não pode ser exibida

Você tem Microsoft Entra proxy de aplicativo configurado. Ao navegar até a URL do servidor SCEP, você recebe o seguinte erro:

This page can't be displayed

• Causa: esse problema ocorre quando a URL externa do SCEP está incorreta na configuração Proxy de Aplicativo. Um exemplo dessa URL é https://contoso.com/certsrv/mscep/mscep.dll.

  Solução: use o domínio padrão de yourtenant.msappproxy.net para a URL externa SCEP na configuração de Proxy de Aplicativo.

500 - Erro interno do servidor

Ao navegar até a URL do servidor SCEP, você recebe o seguinte erro:

• Causa 1: a conta de serviço do NDES está bloqueada ou sua senha expirou.

  Solução: desbloqueie a conta ou reinicie a senha.

• Causa 2: os certificados MSCEP-RA expiraram.

  Solução: se os certificados MSCEP-RA expirarem, reinstale a função NDES ou solicite novos certificados CEP Encryption e Exchange Enrollment Agent (solicitação offline).

  Para solicitar novos certificados, siga estas etapas:

  1. Na AC (Autoridade de Certificado) ou na emissão de AC, abra o MMC modelos de certificado. Certifique-se de que o usuário conectado e o servidor NDES tenham permissões de leitura e registro para os modelos de certificado do CEP Encryption and Exchange Registr Agent (solicitação offline).

  2. Verifique os certificados expirados no servidor NDES, copie as informações de Assunto do certificado.

  3. Abra a conta MMC de Certificados para Computador.

  4. Expanda Certificados pessoais e clique com o botão direito do mouse em Certificados e selecione Todas as Tarefas>Solicitar Novo Certificado.

  5. Na página Certificado de Solicitação , selecione Criptografia CEP e, em seguida, selecione Mais informações são necessárias para registrar esse certificado. Clique aqui para configurar as configurações.

     

  6. Em Propriedades de Certificado, selecione a guia Assunto , preencha o nome da entidade com as informações coletadas durante a etapa 2, selecione Adicionar e, em seguida, selecione OK.

  7. Conclua o registro de certificado.

  8. Abra o MMC certificados para minha conta de usuário.

     Quando você se registra para o certificado do Agente de Registro do Exchange (solicitação offline), ele deve ser feito no contexto do usuário. Como o Tipo de Assunto desse modelo de certificado é definido como Usuário.

  9. Expanda Certificados pessoais e clique com o botão direito do mouse em Certificados e selecione Todas as Tarefas>Solicitar Novo Certificado.

  10. Na página Certificado de Solicitação , selecione Agente de Registro do Exchange (solicitação offline)e selecione Mais informações são necessárias para se inscrever para esse certificado. Clique aqui para configurar as configurações.

      

  11. Em Propriedades de Certificado, selecione a guia Assunto , preencha o nome da entidade com as informações coletadas durante a etapa 2, selecione Adicionar.

      

      Selecione a guia Chave Privada , selecione Tornar a chave privada exportável e selecione OK.

      

  12. Conclua o registro de certificado.

  13. Exporte o certificado do Agente de Registro do Exchange (solicitação offline) do repositório de certificados de usuário atual. No Assistente de Exportação de Certificados, selecione Sim, exporte a chave privada.

  14. Importe o certificado para o repositório de certificados do computador local.

  15. No MMC certificados, faça a seguinte ação para cada um dos novos certificados:

      Clique com o botão direito do mouse no certificado, selecione Todas as Tarefas>Gerenciar Chaves Privadas, adicione permissão de leitura à conta de serviço do NDES.

  16. Execute o comando iisreset para reiniciar o IIS.

Próximas etapas

Se o dispositivo atingir com êxito o servidor NDES para apresentar a solicitação de certificado, a próxima etapa será examinar o módulo de política Intune Conectores de Certificado.