Compartilhar via

Solução de problemas de implantação de certificado PKCS no Intune

  • Artigo

Este artigo fornece diretrizes de solução de problemas para vários problemas comuns ao implantar certificados PKCS (Public Key Cryptography Standards) em Microsoft Intune. Antes de solucionar problemas, verifique se você concluiu as seguintes tarefas, conforme explicado em Configurar e usar certificados PKCS com Intune:

  • Examine os requisitos para usar perfis de certificado PKCS.
  • Exporte o certificado raiz da AUTORIDADE de Certificação Empresarial (AC).
  • Configure modelos de certificado na autoridade de certificação.
  • Instale e configure o conector de certificado Intune.
  • Crie e implante um perfil de certificado confiável para implantar o certificado raiz.
  • Crie e implante um perfil de certificado PKCS.

A fonte mais comum de problemas para perfis de certificado PKCS tem sido com a configuração do perfil de certificado PKCS. Examine a configuração de perfis e procure erros de digitação em nomes de servidor ou nomes de domínio totalmente qualificados (FQDNs) e confirme se a Autoridade de Certificado e o Nome da Autoridade de Certificado estão corretos.

  • Autoridade de Certificação: O FQDN interno do computador da Autoridade de Certificados. Por exemplo, server1.domain.local.
  • Nome da Autoridade de Certificação: o Nome da Autoridade de Certificado conforme exibido no MMC da autoridade de certificação. Procure na Autoridade de Certificação (Local)

Você pode usar o programa de linha de comando certutil na AC para confirmar o nome correto para a Autoridade de Certificação e o Nome da Autoridade de Certificação.

Visão geral da comunicação PKCS

O gráfico a seguir fornece uma visão geral básica do processo de implantação do certificado PKCS no Intune.

Captura de tela do fluxo de perfil de certificado PKCS.

  1. Um Administração cria um perfil de certificado PKCS no Intune.
  2. O serviço Intune solicita que o conector de certificado Intune local crie um novo certificado para o usuário.
  3. O Conector de Certificado Intune envia um Blob PFX e uma Solicitação à Autoridade de Microsoft Certification.
  4. A Autoridade de Certificação emite e envia o Certificado de Usuário PFX de volta ao Conector de Certificado Intune.
  5. O Conector de Certificado Intune carrega o Certificado de Usuário PFX criptografado para Intune.
  6. Intune descriptografa o Certificado de Usuário PFX e criptografa novamente o dispositivo usando o Certificado de Gerenciamento de Dispositivos. Intune envia o Certificado de Usuário PFX para o Dispositivo.
  7. O dispositivo relata o status de certificado para Intune.

Arquivos de log

Para identificar problemas para o fluxo de trabalho de provisionamento de certificado e comunicação, examine arquivos de log da infraestrutura do Servidor e de dispositivos. Seções posteriores para solucionar problemas de perfis de certificado PKCS referem-se a arquivos de log referenciados nesta seção.

Os logs de dispositivo dependem da plataforma do dispositivo:

Logs para infraestrutura local

A infraestrutura local que dá suporte ao uso de perfis de certificado PKCS para implantações de certificado inclui o Microsoft Intune Certificate Connector e a autoridade de certificação.

Os arquivos de log para essas funções incluem windows Visualizador de Eventos, consoles de certificado e vários arquivos de log específicos para o Conector de Certificado Intune ou outras operações e funções que fazem parte da infraestrutura local.

  • NDESConnector_date_time.svclog:

    Este log mostra a comunicação do Conector de Certificado Microsoft Intune para o serviço de nuvem Intune. Você pode usar a Ferramenta de Visualizador de Rastreamento de Serviço para exibir este arquivo de log.

    Chave de registro relacionada: HKLM\SW\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

    Local: no servidor que hospeda o conector de certificado Intune em %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs

  • Log de aplicativos do Windows:

    Local: no servidor que hospeda o conector de certificado Intune: executar eventvwr.msc para abrir o Windows Visualizador de Eventos

Logs para dispositivos Android

Para dispositivos que executam o Android, use o arquivo de log do aplicativo android Portal da Empresa, OMADM.log. Antes de coletar e examinar logs, habilite garantir que o Log verbose esteja habilitado e, em seguida, reproduza o problema.

Para coletar o OMADM.logs de um dispositivo, consulte Carregar e enviar logs de email usando um cabo USB.

Você também pode carregar e enviar logs de email para dar suporte.

Logs para dispositivos iOS e iPadOS

Para dispositivos que executam o iOS/iPadOS, você usa logs de depuração e Xcode executados em um computador Mac:

  1. Conecte o dispositivo iOS/iPadOS ao Mac e vá paraUtilitários de Aplicativos> para abrir o aplicativo Console.

  2. Em Ação, selecione Incluir Mensagens de Informações e Incluir Mensagens de Depuração.

    A captura de tela mostra que as opções Incluir Mensagens de Informações e Incluir Mensagens de Depuração estão selecionadas.

  3. Reproduza o problema e salve os logs em um arquivo de texto:

    1. Selecione Editar>Selecionar Tudo para selecionar todas as mensagens na tela atual e selecione Editar>Copiar para copiar as mensagens na área de transferência.
    2. Abra o aplicativo TextEdit, cole os logs copiados em um novo arquivo de texto e salve o arquivo.

O log Portal da Empresa para dispositivos iOS e iPadOS não contém informações sobre perfis de certificado PKCS.

Logs para dispositivos Windows

Para dispositivos que executam o Windows, use os logs de eventos do Windows para diagnosticar problemas de registro ou gerenciamento de dispositivos para dispositivos que você gerencia com Intune.

No dispositivo, abra Visualizador de Eventos>Applications and Services Logs>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider

Captura de tela dos logs de eventos do Windows.

Exclusões de antivírus

Considere adicionar exclusões antivírus em servidores que hospedam o conector de certificado Intune quando:

  • As solicitações de certificado chegam ao servidor ou ao conector de certificado Intune, mas não são processadas com êxito
  • Os certificados são emitidos lentamente

Veja a seguir exemplos de locais que você pode excluir:

  • %program_files%\Microsoft Intune\PfxRequest
  • %program_files%\Microsoft Intune\CertificateRequestStatus
  • %program_files%\Microsoft Intune\CertificateRevocationStatus

Erros comuns

Os seguintes erros comuns são resolvidos em uma seção a seguir:

O servidor RPC não está disponível 0x800706ba

Durante a implantação do PFX, o certificado raiz confiável aparece no dispositivo, mas o certificado PFX não aparece no dispositivo. O arquivo de log NDESConnector_date_time.svclog contém a cadeia de caracteres O servidor RPC não está disponível. 0x800706ba, conforme visto na primeira linha do seguinte exemplo:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x800706BA): CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
IssuePfx -Generic Exception: System.ArgumentException: CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094800): The requested certificate template is not supported by this CA. (Exception from HRESULT: 0x80094800)

Causa 1 – Configuração incorreta da AC no Intune

Esse problema pode ocorrer quando o perfil de certificado PKCS especifica o servidor errado ou contém erros ortográficos para o nome ou FQDN da AC. A AC é especificada nas seguintes propriedades do perfil:

  • Autoridade de certificação
  • Nome da autoridade de certificação

Solução:

Examine as seguintes configurações e corrija se elas estiverem incorretas:

  • A propriedade autoridade de certificação exibe o FQDN interno do servidor de AC.
  • A propriedade Nome da autoridade de certificação exibe o nome da sua AC.

Causa 2 – A AC não dá suporte à renovação de certificado para solicitações assinadas por certificados anteriores da AC

Se o CA FQDN e o nome estiverem corretos no perfil de certificado PKCS, examine o log do Aplicativo Windows que está no servidor de autoridade de certificado. Procure uma ID de evento 128 que se assemelha ao seguinte exemplo:

Log Name: Application:
Source: Microsoft-Windows-CertificationAuthority
Event ID: 128
Level: Warning
Details:
An Authority Key Identifier was passed as part of the certificate request 2268. This feature has not been enabled. To enable specifying a CA key for certificate signing, run: "certutil -setreg ca\UseDefinedCACertInRequest 1" and then restart the service.

Quando o certificado de AC for renovado, ele deve assinar o certificado de Assinatura de Resposta do Protocolo de Status do Certificado Online (OCSP). A assinatura permite que o certificado de Assinatura de Resposta do OCSP valide outros certificados verificando suas status de revogação. Essa assinatura não está habilitada por padrão.

Solução:

Forçar manualmente a assinatura do certificado:

  1. No servidor de AC, abra um Prompt de Comando elevado e execute o seguinte comando: certutil -setreg ca\UseDefinedCACertInRequest 1
  2. Reinicie o serviço de Serviços de Certificado.

Depois que o serviço dos Serviços de Certificado for reiniciado, os dispositivos poderão receber certificados.

Não é possível localizar um servidor de política de registro 0x80094015

Um servidor de política de registro não pode ser localizado e 0x80094015, conforme visto no exemplo a seguir:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094015): An enrollment policy server cannot be located. (Exception from HRESULT: 0x80094015)

Causa – Nome do servidor da política de registro de certificado

Esse problema ocorrerá se o computador que hospeda o conector de certificado Intune não conseguir localizar um servidor de política de registro de certificado.

Solução:

Configure manualmente o nome do servidor de política de registro de certificado no computador que hospeda o conector de certificado Intune. Para configurar o nome, use o cmdlet Add-CertificateEnrollmentPolicyServer PowerShell.

O envio está pendente

Depois de implantar um perfil de certificado PKCS em dispositivos móveis, os certificados não são adquiridos e o log NDESConnector_date_time.svclog contém a cadeia de caracteres O envio está pendente, conforme visto no exemplo a seguir:

IssuePfx - The submission is pending: Taken Under Submission
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission is pending

Além disso, no servidor de autoridade de certificado, você pode ver a solicitação PFX na pasta Solicitações Pendentes :

Captura de tela da pasta solicitações pendentes da Autoridade de Certificação.

Causa – Configuração incorreta para Tratamento de Solicitações

Esse problema ocorrerá se a opção Definir a solicitação status como pendente. O administrador deve emitir explicitamente que o certificado é selecionado na caixa de diálogoPropriedades doMódulo> de Política de Propriedades> da autoridade de certificado.

Captura de tela das propriedades do Módulo de Política.

Solução:

Edite as propriedades do Módulo de Política a serem definidas: Siga as configurações no modelo de certificado, se aplicável. Caso contrário, emita automaticamente o certificado.

O parâmetro está incorreto 0x80070057

Com o conector de certificado Intune instalado e configurado com êxito, os dispositivos não recebem certificados PKCS e o log NDESConnector_date_time.svclog contém a cadeia de caracteres O parâmetro está incorreto. 0x80070057, como visto no exemplo a seguir:

CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

Causa – Configuração do perfil PKCS

Esse problema ocorrerá se o perfil PKCS no Intune estiver configurado incorretamente. A seguir estão configurações incorretas comuns:

  • O perfil inclui um nome incorreto para a AC.
  • O SAN (Nome Alternativo do Assunto) está configurado para endereço de email, mas o usuário-alvo ainda não tem um endereço de email válido. Essa combinação resulta em um valor nulo para a SAN, que é inválido.

Solução:

Verifique as seguintes configurações para o perfil PKCS e aguarde a atualização da política no dispositivo:

  • Configurado com o nome da AC
  • Atribuído ao grupo de usuários correto
  • Os usuários do grupo têm endereços de email válidos

Para obter mais informações, consulte Configurar e usar certificados PKCS com Intune.

Negado pelo Módulo de Política

Quando os dispositivos recebem o certificado raiz confiável, mas não recebem o certificado PFX e o log NDESConnector_date_time.svclog contém a cadeia de caracteres O envio falhou: negado pelo Módulo de Política, conforme visto no exemplo a seguir:

IssuePfx - The submission failed: Denied by Policy Module
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission failed
   at Microsoft.Management.Services.NdesConnector.MicrosoftCA.GetCertificate(PfxRequestDataStorage pfxRequestData, String containerName, String& certificate, String& password)
Issuing Pfx certificate for Device ID <Device ID> failed

Causa – permissões da conta de computador para o modelo de certificado

Esse problema ocorre quando a Conta de Computador do servidor que hospeda o conector de certificado Intune não tem permissões para o modelo de certificado.

Solução:

  1. Entre na sua AC corporativa com uma conta que tenha privilégios administrativos.
  2. Abra o console da Autoridade de Certificação , clique com o botão direito do mouse em Modelos de Certificado e selecione Gerenciar.
  3. Localize o modelo de certificado e abra a caixa de diálogo Propriedades do modelo.
  4. Selecione a guia Segurança e adicione a Conta de Computador para o servidor em que você instalou o conector de certificado Microsoft Intune. Conceda a essa conta permissões de leitura e registro .
  5. Selecione Aplicar>OK para salvar o modelo de certificado e feche o console modelos de certificado .
  6. No console da Autoridade de Certificação, clique com o botão direito em Modelos de Certificados>Novo>Modelo de Certificado a ser Emitido.
  7. Selecione o modelo modificado e clique em OK.

Para obter mais informações, consulte Configurar modelos de certificado na AC.

Perfil de certificado preso como Pendente

No centro de administração Microsoft Intune, os perfis de certificado PKCS não são implantados com um estado de Pending. Não há erros óbvios no arquivo de log NDESConnector_date_time.svclog. Como a causa desse problema não é identificada claramente nos logs, trabalhe nas causas a seguir.

Causa 1 – Arquivos de solicitação não processados

Examine os arquivos de solicitação para obter erros que indicam por que eles não foram processados.

  1. No servidor que hospeda o conector de certificado Intune, use Explorador de Arquivos para navegar até %programfiles%\Microsoft Intune\PfxRequest.

  2. Examine arquivos nas pastas Falha e Processamento , usando seu editor de texto favorito.

    Captura de tela da pasta PfxRequest.

  3. Nesses arquivos, procure entradas que indiquem erros ou sugiram problemas. Usando uma pesquisa baseada na Web, procure as mensagens de erro em busca de pistas sobre por que a solicitação não foi processada e para obter soluções para esses problemas.

Causa 2 – Configuração incorreta para o perfil de certificado PKCS

Quando você não encontra arquivos de solicitação nas pastas Falha, Processamento ou Sucesso , a causa pode ser que o certificado errado esteja associado ao perfil de certificado PKCS. Por exemplo, uma AC subordinada está associada ao perfil ou o certificado raiz errado é usado.

Solução:

  1. Examine seu perfil de certificado confiável para garantir que você implantou o certificado raiz de sua AC Enterprise em dispositivos.
  2. Examine seu perfil de certificado PKCS para garantir que ele referencie a AC correta, o tipo de certificado e o perfil de certificado confiável que implanta o certificado raiz em dispositivos.

Para obter mais informações, confira Usar certificados para autenticação no Microsoft Intune.

Erro -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

Os certificados PKCS não são implantados e o console de certificado na AC emissora exibe uma mensagem com a cadeia de caracteres -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED, conforme visto no exemplo a seguir:

Active Directory Certificate Services denied request abc123 because The Email name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). The request was for CN=" Common Name".  Additional information: Denied by Policy Module".

Causa – "Fornecimento na solicitação" é configurado incorretamente

Esse problema ocorrerá se a opção Fornecer na solicitação não estiver habilitada na guia Nome da Entidade na caixa de diálogo Propriedades do modelo de certificado.

Captura de tela das propriedades do NDES em que a opção Fornecer na solicitação é realçada.

Solução:

Edite o modelo para resolve o problema de configuração:

  1. Entre na sua AC corporativa com uma conta que tenha privilégios administrativos.
  2. Abra o console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado e selecione Gerenciar.
  3. Abra a caixa de diálogo Propriedades do modelo de certificado.
  4. Na guia Nome do Assunto , selecione Fornecer na solicitação.
  5. Selecione OK para salvar o modelo de certificado e feche o console modelos de certificado .
  6. No console da Autoridade de Certificação e clique com o botão direito do mouse em Modelos>Novo>Modelo de Certificado para Emitir.
  7. Selecione o modelo modificado e selecione OK.