Partilhar via

Solução de problemas da entrega de certificados provisionados pelo SCEP para dispositivos em Microsoft Intune

  • Artigo

Este artigo fornece diretrizes de solução de problemas para ajudá-lo a investigar a entrega de certificados em dispositivos quando você usa o SCEP (Protocolo de Registro de Certificado Simples) para provisionar certificados em Intune. Depois que o servidor NDES (Serviço de Registro de Dispositivo de Rede) recebe o certificado solicitado para um dispositivo da autoridade de certificação (AC), ele passa esse certificado de volta para o dispositivo.

Este artigo se aplica à etapa 5 do fluxo de trabalho de comunicação SCEP; entrega do certificado para o dispositivo que enviou a solicitação de certificado.

Examinar a autoridade de certificação

Quando a AC tiver emitido o certificado, você verá uma entrada semelhante ao exemplo a seguir na AC:

Captura de tela de um exemplo de certificados emitidos.

Examinar o dispositivo

Android

Para dispositivos registrados pelo administrador do dispositivo, você verá uma notificação semelhante à seguinte imagem, que solicita a instalação do certificado:

Captura de tela de uma notificação do Android.

Para Android Enterprise ou Samsung Knox, a instalação do certificado é automática e silenciosa.

Para exibir um certificado instalado no Android, use um aplicativo de exibição de certificados de terceiros.

Você também pode examinar o log OMADM de dispositivos. Procure entradas que se assemelham aos seguintes exemplos, que são registrados quando os certificados instalam:

Certificado raiz:

2018-02-27T04:50:52.1890000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        9    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALL_REQUESTED
2018-02-27T04:53:31.1300000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        0    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T04:53:32.0390000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595       14    Root cert '17…' state changed from CERT_INSTALLING to CERT_INSTALL_SUCCESS

Certificado provisionado por meio do SCEP

2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    There are 1 requests
2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    Trying to enroll certificate request: ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787
2018-02-27T05:16:20.6150000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:20.6530000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:21.7460000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.7890000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:28.0340000    VERB    Event     org.jscep.transaction.EnrollmentTransaction    18327       10    Response: org.jscep.message.CertRep@3150777b[failInfo=<null>,pkiStatus=SUCCESS,recipientNonce=Nonce [GUID],messageData=org.spongycastle.cms.CMSSignedData@27cc8998,messageType=CERT_REP,senderNonce=Nonce [GUID],transId=TRANSID]
2018-02-27T05:16:28.2440000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       10    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ENROLLED to CERT_INSTALL_REQUESTED
2018-02-27T05:18:44.9820000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327        0    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T05:18:45.3460000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       14    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALLING to CERT_ACCESS_REQUESTED
2018-02-27T05:20:15.3520000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       21    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ACCESS_REQUESTED to CERT_ACCESS_GRANTED

iOS/iPadOS

No dispositivo iOS/iPadOS ou iPadOS, você pode exibir o certificado no Perfil Gerenciamento de Dispositivos. Faça um detalhamento para ver os detalhes dos certificados instalados.

Captura de tela dos certificados iOS no Perfil Gerenciamento de Dispositivos.

Você também pode encontrar entradas que se assemelham ao seguinte no log de depuração do iOS:

Debug 18:30:53.691033 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\  
Debug 18:30:54.640644 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
Debug 18:30:55.487908 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgMFADCABgkqhkiG9w0BBwGggCSABIIZfzCABgkqhkiG9w0BBwOggDCAAgEAMYIBgjCCAX4CAQAwZjBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxHDAaBgoJkiaJk/IsZAEZFgxmb3VydGhjb2ZmZWUxGDAWBgNVBAMTD0ZvdXJ0aENvZmZlZSBDQQITaAAAAAmaneVjEPlcTwAAAAAACTANBgkqhkiG9w0BAQEFAASCAQCqfsOYpuBToerQLkw/tl4tH9E+97TBTjGQN9NCjSgb78fF6edY0pNDU+PH4RB356wv3rfZi5IiNrVu5Od4k6uK4w0582ZM2n8NJFRY7KWSNHsmTIWlo/Vcr4laAtq5rw+CygaYcefptcaamkjdLj07e/Uk4KsetGo7ztPVjSEFwfRIfKv474dLDmPqp0ZwEWRQG 
Debug 18:30:57.285730 -0500 profiled Adding dependent Microsoft.Profiles.MDM to parent www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 in domain ManagedProfileToManagingProfile to system\ 
Default 18:30:57.320616 -0500 profiled Profile \'93www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295\'94 installed.\

Windows

Em um dispositivo Windows, verifique se o certificado foi entregue:

  • Execute eventvwr.msc para abrir Visualizador de Eventos. Acesse Logs de Aplicativos e Serviços>Microsoft Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Administração e procure o Evento 39.> Este Evento deve ter uma descrição geral de: SCEP: certificado instalado com êxito.

    Captura de tela do evento 39 no log de aplicativos do Windows.

Para exibir o certificado no dispositivo, execute certmgr.msc para abrir o MMC certificados e verificar se os certificados raiz e SCEP estão instalados corretamente no dispositivo no repositório pessoal:

  1. Acesse Certificados (computador local)>Certificados de autoridades> de certificação raiz confiáveise verifique se o certificado raiz da sua AC está presente. Os valores de Emitidos para e Emitidos por serão os mesmos.
  2. No MMC certificados, acesse Certificados – CertificadosPessoais> do Usuário> Atual e verifique se o certificado solicitado está presente, com Emitido por igual ao nome da AC.

Solucionar problemas de falhas

Android

Para solucionar problemas de entrega de certificado, examine os erros registrados no log de DM do OMA.

iOS/iPadOS

Para solucionar problemas de entrega de certificado, examine os erros registrados no log de depuração de dispositivos.

Windows

Para solucionar problemas com o certificado não instalado no dispositivo, procure no log de eventos do Windows erros que sugerem problemas:

  • No dispositivo, execute eventvwr.msc para abrir Visualizador de Eventos e, em seguida, acesse Logs de Aplicativos e Serviços>Microsoft Windows>>DeviceManagement-Enterprise-Diagnostic-Provider>Administração.

Erros com a entrega e instalação do certificado no dispositivo normalmente estão relacionados às operações do Windows e não a Intune.

Próximas etapas

Se o certificado for implantado com êxito no dispositivo, mas Intune não relatar êxito, consulte Relatórios do NDES para Intune para solucionar problemas de relatórios.