Partilhar via

Solução de problemas do módulo de política do NDES no Microsoft Intune

  • Artigo

Este artigo fornece diretrizes para ajudar você a validar e solucionar problemas da operação do módulo de política do NDES (Serviço de Registro de Dispositivo de Rede) instalado com o conector de certificado Microsoft Intune. Quando o NDES recebe uma solicitação de um certificado, ele encaminha a solicitação para o módulo de política, que valida a solicitação como válida para o dispositivo. Após a validação, o NDES entra em contato com a autoridade de certificado (AC) para solicitar o certificado em nome do dispositivo.

Este artigo se aplica ao fluxo de trabalho de comunicação da Etapa 3 e 4 do SCEP.

Comunicação do NDES com o módulo de política

Depois de receber a solicitação de certificado de um dispositivo, o NDES valida essa solicitação com Intune por meio do módulo de política instalado com o conector de certificado Microsoft Intune. Essas entradas referem-se ao ponto de registro do certificado.

Entradas de log que indicam êxito:

Para confirmar se a solicitação de validação é enviada ao módulo, procure uma entrada que se assemelha aos seguintes exemplos em logs no servidor NDES:

  • Logs do IIS:

    fe80::f53d:89b8:c3e8:5fec%13 POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 - 
fe80::f53d:89b8:c3e8:5fec%13 NDES_Plugin - 201 0 0 341 875

  • Log do NDESPlugin:

    Calling VerifyRequest ...  
Sending request to certificate registration point.

    O exemplo a seguir indica uma validação bem-sucedida da solicitação de desafio de dispositivos e que o NDES agora pode entrar em contato com a AC:

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

Quando os indicadores de êxito não estão presentes:

Se você não encontrar essas entradas, comece examinando as diretrizes de solução de problemas de comunicação do dispositivo para o servidor NDES.

Se as informações nesse artigo não ajudarem você a resolve o problema, as seguintes serão entradas adicionais que podem indicar problemas.

NDESPlugin.log contém um erro 12175

Quando o log contém um erro 12175 semelhante ao seguinte, pode haver um problema com o certificado SSL:

WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID
Failed to send http request /CertificateRegistrationSvc/Certificate/VerifyRequest. Error 12175

Navegadores e navegadores modernos em dispositivos móveis ignoram o Nome Comum em um certificado SSL se houver nomes alternativos de assunto presentes.

Solução: emita o certificado SSL do servidor Web com os seguintes atributos para Nome Comum e Nome Alternativo do Assunto e, em seguida, associe-o à porta 443 no IIS:

  • Nome da entidade
    CN = nome do servidor externo
  • Nome alternativo do assunto
    Nome = nome do servidor externo
    Nome DNS = nome do servidor interno

NDESPlugin.log contém um erro 403 – Proibido: o acesso é negado"

Quando os logs a seguir contêm um erro 403 semelhante ao seguinte, o certificado do cliente pode ser não confiável ou inválido:

NDESPlugin.log:

Sending request to certificate registration point.
Verify challenge returns <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>403 - Forbidden: Access is denied.</title>

Log do IIS:

POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 -<IP_address>
NDES_Plugin - 403 16 2148204809 453

Esse problema ocorrerá se houver certificados de AC intermediários no repositório de certificados autoridades de certificação raiz confiáveis do servidor NDES.

Se um certificado tiver o mesmo emitido e emitido por valores, ele será um certificado raiz. Caso contrário, é um certificado intermediário.

Solução: para corrigir o problema, identifique e remova os certificados de AC intermediários do repositório de certificados autoridades de certificação raiz confiáveis.

NDESPlugin.log indica que o desafio retorna false

Quando o resultado do desafio retornar false, marcar o CertificateRegistrationPoint.svclog para erros. Por exemplo, você pode ver um erro "Certificado de assinatura não pôde ser recuperado" que se assemelha à seguinte entrada:

Signing certificate could not be retrieved. System.Security.Cryptography.CryptographicException: m_safeCertContext is an invalid handle. at System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid() at System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString() at Microsoft.ConfigurationManager.CertRegPoint.CRPCertificate.RetrieveSigningCert(String certThumbprint

Solução: no servidor em que o conector está instalado, abra a Editor do Registro, localize a chave do HKLM\SOFTWARE\Microsoft\MicrosoftIntune\NDESConnector registro e, em seguida, marcar se o valor SigningCertificate existe.

Se esse valor não existir, reinicie o Serviço Intune Conector em services.msc e, em seguida, marcar se o valor aparece no registro. Se o valor ainda estiver ausente, geralmente é devido a problemas de conectividade de rede entre o servidor que o NDES e o serviço Intune.

O NDES passa a solicitação para emitir o certificado

Após uma validação bem-sucedida pelo ponto de registro de certificado (o módulo de política), o NDES passa a solicitação de certificado para a AC em nome do dispositivo.

Entradas de log que indicam êxito:

  • Log do NDESPlugin:

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • Logs do IIS:

    fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe ... 80 - 
fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 2713 1296

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

Quando os indicadores de êxito não estão presentes:

Se você não vir as entradas que indicam êxito, conclua estas etapas:

  1. Procure problemas registrados em CertificateRegistrationPoint.svclog quando o ponto de registro de certificado verificar o desafio. Procure as entradas entre as seguintes linhas:

    • VerifyRequest Started.
    • VerifyRequest Concluído com status False

  2. Abra o MMC da Autoridade de Certificação na AC e selecione Solicitações com falha para procurar erros que ajudem a identificar um problema. A imagem a seguir é um exemplo:

    Captura de tela de uma solicitação com falha de exemplo.

  3. Examine o log de eventos do aplicativo na AC em busca de erros. Normalmente, você pode ver erros que correspondem ao que você vê nas Solicitações com Falha da etapa anterior. A imagem a seguir é um exemplo:

    A captura de tela mostra os detalhes do log do aplicativo.

Próximas etapas

Se o módulo de política do NDES validar a solicitação e a solicitação for encaminhada à autoridade de certificado, a próxima etapa será examinar a entrega do certificado para o dispositivo.