Felsöka leverans av certifikat som etablerats av SCEP till enheter i Microsoft Intune
Den här artikeln innehåller felsökningsvägledning som hjälper dig att undersöka leverans av certifikat till enheter när du använder SCEP (Simple Certificate Enrollment Protocol) för att etablera certifikat i Intune. När NDES-servern (Network Device Enrollment Service) tar emot det begärda certifikatet för en enhet från certifikatutfärdare skickar den tillbaka certifikatet till enheten.
Den här artikeln gäller steg 5 i SCEP-kommunikationsarbetsflödet. leverans av certifikatet till den enhet som skickade certifikatbegäran.
Granska certifikatutfärdare
När certifikatutfärdare har utfärdat certifikatet visas en post som liknar följande exempel på certifikatutfärdare:
Granska enheten
Android
För enhetsadministratörsregistrerade enheter visas ett meddelande som liknar följande bild, där du uppmanas att installera certifikatet:
För Android Enterprise eller Samsung Knox är certifikatinstallationen automatisk och tyst.
Om du vill visa ett installerat certifikat på Android använder du en app för visning av certifikat från tredje part.
Du kan också granska enheternas OMADM-logg. Leta efter poster som liknar följande exempel, som loggas när certifikat installeras:
Rotcertifikat:
2018-02-27T04:50:52.1890000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine 9595 9 Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALL_REQUESTED
2018-02-27T04:53:31.1300000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine 9595 0 Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T04:53:32.0390000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine 9595 14 Root cert '17…' state changed from CERT_INSTALLING to CERT_INSTALL_SUCCESS
Certifikatet har etablerats via SCEP
2018-02-27T05:16:08.2500000 VERB Event com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager 18327 10 There are 1 requests
2018-02-27T05:16:08.2500000 VERB Event com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager 18327 10 Trying to enroll certificate request: ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787
2018-02-27T05:16:20.6150000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:20.6530000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Received '200 OK' when sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:21.7460000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.7890000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Received '200 OK' when sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:28.0340000 VERB Event org.jscep.transaction.EnrollmentTransaction 18327 10 Response: org.jscep.message.CertRep@3150777b[failInfo=<null>,pkiStatus=SUCCESS,recipientNonce=Nonce [GUID],messageData=org.spongycastle.cms.CMSSignedData@27cc8998,messageType=CERT_REP,senderNonce=Nonce [GUID],transId=TRANSID]
2018-02-27T05:16:28.2440000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine 18327 10 SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ENROLLED to CERT_INSTALL_REQUESTED
2018-02-27T05:18:44.9820000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine 18327 0 SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T05:18:45.3460000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine 18327 14 SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALLING to CERT_ACCESS_REQUESTED
2018-02-27T05:20:15.3520000 INFO Event com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine 18327 21 SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ACCESS_REQUESTED to CERT_ACCESS_GRANTED
iOS/iPadOS
På iOS/iPadOS- eller iPadOS-enheten kan du visa certifikatet under Enhetshantering-profilen. Öka detaljnivån för att se information om installerade certifikat.
Du kan också hitta poster som liknar följande i iOS-felsökningsloggen:
Debug 18:30:53.691033 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\
Debug 18:30:54.640644 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\
Debug 18:30:55.487908 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgMFADCABgkqhkiG9w0BBwGggCSABIIZfzCABgkqhkiG9w0BBwOggDCAAgEAMYIBgjCCAX4CAQAwZjBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxHDAaBgoJkiaJk/IsZAEZFgxmb3VydGhjb2ZmZWUxGDAWBgNVBAMTD0ZvdXJ0aENvZmZlZSBDQQITaAAAAAmaneVjEPlcTwAAAAAACTANBgkqhkiG9w0BAQEFAASCAQCqfsOYpuBToerQLkw/tl4tH9E+97TBTjGQN9NCjSgb78fF6edY0pNDU+PH4RB356wv3rfZi5IiNrVu5Od4k6uK4w0582ZM2n8NJFRY7KWSNHsmTIWlo/Vcr4laAtq5rw+CygaYcefptcaamkjdLj07e/Uk4KsetGo7ztPVjSEFwfRIfKv474dLDmPqp0ZwEWRQG
Debug 18:30:57.285730 -0500 profiled Adding dependent Microsoft.Profiles.MDM to parent www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 in domain ManagedProfileToManagingProfile to system\
Default 18:30:57.320616 -0500 profiled Profile \'93www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295\'94 installed.\
Windows
Kontrollera att certifikatet levererades på en Windows-enhet:
Kör eventvwr.msc för att öppna Loggboken. Gå till Program- och tjänstloggar>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin och leta efter händelse 39. Den här händelsen bör ha en allmän beskrivning av: SCEP: Certifikatet har installerats.
Om du vill visa certifikatet på enheten kör du certmgr.msc för att öppna CERTIFIKAT MMC och kontrollera att rot- och SCEP-certifikaten är korrekt installerade på enheten i det personliga arkivet:
- Gå till Certifikat (lokal dator)>Certifikat för betrodda rotcertifikatutfärdare> och kontrollera att rotcertifikatet från certifikatutfärdare finns. Värdena för Utfärdat till och Utfärdat av är desamma.
- I CERTIFIKAT MMC går du till Certifikat – Aktuella personliga>användarcertifikat> och kontrollerar att det begärda certifikatet finns, med Utfärdat av lika med namnet på certifikatutfärdare.
Felsöka fel
Android
Om du vill felsöka certifikatleveransen granskar du fel som loggas i OMA DM-loggen.
iOS/iPadOS
Om du vill felsöka certifikatleveransen granskar du fel som loggas i felsökningsloggen för enheter.
Windows
Om du vill felsöka problem med att certifikatet inte installeras på enheten kan du titta i Windows-händelseloggen efter fel som tyder på problem:
- På enheten kör du eventvwr.msc för att öppna Loggboken och går sedan till Program- och tjänstloggar>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin.
Fel med leverans och installation av certifikatet till enheten är vanligtvis relaterade till Windows-åtgärder och inte till Intune.
Nästa steg
Om certifikatet har distribuerats till enheten, men Intune inte rapporterar att det lyckades, kan du läsa NDES-rapportering till Intune för att felsöka rapportering.