Dela via

Felsöka PKCS-certifikatdistribution i Intune

  • Artikel

Den här artikeln innehåller felsökningsvägledning för flera vanliga problem när du distribuerar PKCS-certifikat (Public Key Cryptography Standards) i Microsoft Intune. Innan du felsöker kontrollerar du att du har slutfört följande uppgifter, enligt beskrivningen i Konfigurera och använda PKCS-certifikat med Intune:

  • Granska kraven för att använda PKCS-certifikatprofiler.
  • Exportera rotcertifikatet från enterprise-certifikatutfärdare (CA).
  • Konfigurera certifikatmallar på certifikatutfärdare.
  • Installera och konfigurera Intune Certificate Connector.
  • Skapa och distribuera en betrodd certifikatprofil för att distribuera rotcertifikatet.
  • Skapa och distribuera en PKCS-certifikatprofil.

Den vanligaste orsaken till problem för PKCS-certifikatprofiler har varit konfigurationen av PKCS-certifikatprofilen. Granska profilkonfigurationen och leta efter stavfel i servernamn eller fullständigt kvalificerade domännamn (FQDN) och bekräfta att certifikatutfärdaren och certifikatutfärdarens namn är korrekta.

  • Certifikatutfärdare: Det interna FQDN för certifikatutfärdardatorn. Till exempel server1.domain.local.
  • Certifikatutfärdarnamn: Certifikatutfärdarnamnet som visas i certifikatutfärdare MMC. Titta under Certifikatutfärdare (lokal)

Du kan använda kommandoradsprogrammet certutil på certifikatutfärdare för att bekräfta rätt namn för certifikatutfärdare och certifikatutfärdarnamn.

Översikt över PKCS-kommunikation

Följande bild ger en grundläggande översikt över distributionsprocessen för PKCS-certifikat i Intune.

Skärmbild av PKCS-certifikatprofilflödet.

  1. En Admin skapar en PKCS-certifikatprofil i Intune.
  2. Den Intune tjänsten begär att den lokala Intune Certificate Connector skapar ett nytt certifikat för användaren.
  3. Intune Certificate Connector skickar en PFX-blob och en begäran till din Microsoft Certification-utfärdare.
  4. Certifikatutfärdare utfärdar och skickar tillbaka PFX-användarcertifikatet till Intune Certificate Connector.
  5. Intune Certificate Connector laddar upp det krypterade PFX-användarcertifikatet till Intune.
  6. Intune dekrypterar PFX-användarcertifikatet och krypterar om enheten med hjälp av Enhetshantering-certifikatet. Intune skickar sedan PFX-användarcertifikatet till enheten.
  7. Enheten rapporterar certifikatstatusen till Intune.

Loggfiler

Om du vill identifiera problem med arbetsflödet för kommunikation och certifikatetablering granskar du loggfiler från både serverinfrastrukturen och från enheter. Senare avsnitt för felsökning av PKCS-certifikatprofiler finns i loggfiler som refereras i det här avsnittet.

Enhetsloggar är beroende av enhetsplattformen:

Loggar för lokal infrastruktur

Lokal infrastruktur som stöder användning av PKCS-certifikatprofiler för certifikatdistributioner omfattar Microsoft Intune Certificate Connector och certifikatutfärdare.

Loggfiler för dessa roller omfattar Windows Loggboken, certifikatkonsoler och olika loggfiler som är specifika för Intune Certificate Connector eller andra roller och åtgärder som ingår i den lokala infrastrukturen.

  • NDESConnector_date_time.svclog:

    Den här loggen visar kommunikation från Microsoft Intune Certificate Connector till Intune-molntjänsten. Du kan använda visningsverktyget för tjänstspårning för att visa den här loggfilen.

    Relaterad registernyckel: HKLM\SW\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

    Plats: På den server som är värd för Intune Certificate Connector på %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs

  • Windows-programlogg:

    Plats: På den server som är värd för Intune Certificate Connector: Kör eventvwr.msc för att öppna Windows Loggboken

Loggar för Android-enheter

För enheter som kör Android använder du android-Företagsportal-apploggfilenOMADM.log. Innan du samlar in och granskar loggar ska du aktivera kontrollera att utförlig loggning är aktiverat och sedan återskapa problemet.

Information om hur du samlar in OMADM.logs från en enhet finns i Ladda upp och skicka loggar via en USB-kabel.

Du kan också ladda upp och skicka e-postloggar till support.

Loggar för iOS- och iPadOS-enheter

För enheter som kör iOS/iPadOS använder du felsökningsloggar och Xcode som körs på en Mac-dator:

  1. Anslut iOS/iPadOS-enheten till Mac och gå sedan till Programverktyg> för att öppna konsolappen.

  2. Under Åtgärd väljer du Inkludera informationsmeddelanden och Inkludera felsökningsmeddelanden.

    Skärmbild som visar alternativen Inkludera informationsmeddelanden och Inkludera felsökningsmeddelanden har valts.

  3. Återskapa problemet och spara sedan loggarna i en textfil:

    1. Välj Redigera>Välj alla för att markera alla meddelanden på den aktuella skärmen och välj sedan Redigera>kopia för att kopiera meddelandena till Urklipp.
    2. Öppna programmet TextEdit, klistra in de kopierade loggarna i en ny textfil och spara sedan filen.

Den Företagsportal loggen för iOS- och iPadOS-enheter innehåller inte information om PKCS-certifikatprofiler.

Loggar för Windows-enheter

För enheter som kör Windows använder du Windows-händelseloggarna för att diagnostisera problem med registrering eller enhetshantering för enheter som du hanterar med Intune.

Öppna Loggboken>Program- och tjänstloggar>på enheten Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider

Skärmbild av Windows-händelseloggarna.

Antivirusundantag

Överväg att lägga till antivirusundantag på servrar som är värdar för Intune Certificate Connector när:

  • Certifikatbegäranden når servern eller Intune-certifikatanslutningsappen, men bearbetas inte
  • Certifikat utfärdas långsamt

Följande är exempel på platser som du kan utesluta:

  • %program_files%\Microsoft Intune\PfxRequest
  • %program_files%\Microsoft Intune\CertificateRequestStatus
  • %program_files%\Microsoft Intune\CertificateRevocationStatus

Vanliga fel

Följande vanliga fel åtgärdas i följande avsnitt:

RPC-servern är inte tillgänglig 0x800706ba

Under PFX-distributionen visas det betrodda rotcertifikatet på enheten, men PFX-certifikatet visas inte på enheten. Loggfilen NDESConnector_date_time.svclog innehåller strängen RPC-servern är inte tillgänglig. 0x800706ba, enligt den första raden i följande exempel:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x800706BA): CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
IssuePfx -Generic Exception: System.ArgumentException: CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094800): The requested certificate template is not supported by this CA. (Exception from HRESULT: 0x80094800)

Orsak 1 – Felaktig konfiguration av ca:en i Intune

Det här problemet kan inträffa när PKCS-certifikatprofilen anger fel server eller innehåller stavfel för ca:ns namn eller FQDN. Ca:en anges i följande egenskaper för profilen:

  • Certifikatutfärdare
  • Certifikatutfärdarnamn

Lösning:

Granska följande inställningar och åtgärda om de är felaktiga:

  • Egenskapen Certifikatutfärdare visar det interna FQDN för din CA-server.
  • Egenskapen Certifikatutfärdares namn visar namnet på din certifikatutfärdare.

Orsak 2 – CERTIFIKATutfärdare stöder inte certifikatförnyelse för begäranden som signerats av tidigare CA-certifikat

Om certifikatutfärdarens FQDN och namn är korrekta i PKCS-certifikatprofilen granskar du Windows-programloggen som finns på certifikatutfärdarservern. Leta efter ett händelse-ID 128 som liknar följande exempel:

Log Name: Application:
Source: Microsoft-Windows-CertificationAuthority
Event ID: 128
Level: Warning
Details:
An Authority Key Identifier was passed as part of the certificate request 2268. This feature has not been enabled. To enable specifying a CA key for certificate signing, run: "certutil -setreg ca\UseDefinedCACertInRequest 1" and then restart the service.

När CA-certifikatet förnyas måste det signera OCSP-certifikatet (Online Certificate Status Protocol) för svarssignering. Signering gör det möjligt för OCSP-svarssigneringscertifikatet att verifiera andra certifikat genom att kontrollera deras återkallningsstatus. Den här signeringen är inte aktiverad som standard.

Lösning:

Framtvinga manuellt signering av certifikatet:

  1. Öppna en upphöjd kommandotolk på CA-servern och kör följande kommando: certutil -setreg ca\UseDefinedCACertInRequest 1
  2. Starta om certificate services-tjänsten.

När certificate services-tjänsten har startats om kan enheter ta emot certifikat.

Det går inte att hitta en registreringsprincipserver 0x80094015

Det går inte att hitta en registreringsprincipserver och 0x80094015, som du ser i följande exempel:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094015): An enrollment policy server cannot be located. (Exception from HRESULT: 0x80094015)

Orsak – Servernamn för certifikatregistreringsprincip

Det här problemet uppstår om datorn som är värd för Intune Certificate Connector inte kan hitta en principserver för certifikatregistrering.

Lösning:

Konfigurera namnet på principservern för certifikatregistrering manuellt på den dator som är värd för Intune Certificate Connector. Om du vill konfigurera namnet använder du PowerShell-cmdleten Add-CertificateEnrollmentPolicyServer .

Insändningen väntar

När du har distribuerat en PKCS-certifikatprofil till mobila enheter hämtas inte certifikaten och loggen NDESConnector_date_time.svclog innehåller strängen Sändningen väntar, som du ser i följande exempel:

IssuePfx - The submission is pending: Taken Under Submission
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission is pending

På certifikatutfärdarservern kan du dessutom se PFX-begäran i mappen Väntande begäranden :

Skärmbild av mappen Väntande begäranden för certifikatutfärdare.

Orsak – Felaktig konfiguration för hantering av begäranden

Det här problemet uppstår om alternativet Ange status för begäran till väntande. Administratören måste uttryckligen utfärda certifikatet markeras i dialogrutan Egenskaper>för principmodulegenskaper> för certifikatutfärdare.

Skärmbild av egenskaperna för principmodulen.

Lösning:

Redigera egenskaperna för principmodulen för att ange: Följ inställningarna i certifikatmallen, om tillämpligt. Annars utfärdar du certifikatet automatiskt.

Parametern är felaktig 0x80070057

När Intune Certificate Connector har installerats och konfigurerats tar enheterna inte emot PKCS-certifikat och loggen NDESConnector_date_time.svclog innehåller strängen Parametern är felaktig. 0x80070057, som du ser i följande exempel:

CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

Orsak – Konfiguration av PKCS-profilen

Det här problemet uppstår om PKCS-profilen i Intune är felkonfigurerad. Följande är vanliga felkonfigurationer:

  • Profilen innehåller ett felaktigt namn på certifikatmottagaren.
  • Alternativt namn på certifikatmottagare (SAN) har konfigurerats för e-postadress, men målanvändaren har ännu ingen giltig e-postadress. Den här kombinationen resulterar i ett null-värde för SAN, vilket är ogiltigt.

Lösning:

Kontrollera följande konfigurationer för PKCS-profilen och vänta sedan tills principen har uppdaterats på enheten:

  • Konfigurerad med namnet på certifikatmottagaren
  • Tilldelad till rätt användargrupp
  • Användare i gruppen har giltiga e-postadresser

Mer information finns i Konfigurera och använda PKCS-certifikat med Intune.

Nekad av principmodul

När enheter tar emot det betrodda rotcertifikatet men inte tar emot PFX-certifikatet och loggen NDESConnector_date_time.svclog innehåller strängen Sändningen misslyckades: Nekad av principmodulen, som du ser i följande exempel:

IssuePfx - The submission failed: Denied by Policy Module
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission failed
   at Microsoft.Management.Services.NdesConnector.MicrosoftCA.GetCertificate(PfxRequestDataStorage pfxRequestData, String containerName, String& certificate, String& password)
Issuing Pfx certificate for Device ID <Device ID> failed

Orsak – Datorkontobehörighet till certifikatmallen

Det här problemet uppstår när datorkontot för den server som är värd för Intune Certificate Connector inte har behörighet till certifikatmallen.

Lösning:

  1. Logga in på din Enterprise CA med ett konto som har administratörsbehörighet.
  2. Öppna konsolen Certifikatutfärdare , högerklicka på Certifikatmallar och välj Hantera.
  3. Leta upp certifikatmallen och öppna dialogrutan Egenskaper för mallen.
  4. Välj fliken Säkerhet och lägg till datorkontot för servern där du installerade Microsoft Intune Certificate Connector. Bevilja kontot läs - och registreringsbehörigheter .
  5. Välj Använd>OK för att spara certifikatmallen och stäng sedan konsolen Certifikatmallar .
  6. I konsolen Certifikatutfärdarehögerklickar du på Certifikatmallar>Ny>certifikatmall att utfärda.
  7. Välj den mall som du ändrade och klicka sedan på OK.

Mer information finns i Konfigurera certifikatmallar på certifikatutfärdare.

Certifikatprofilen har fastnat som väntande

I Microsoft Intune administrationscenter kan PKCS-certifikatprofiler inte distribueras med tillståndet Väntar. Det finns inga uppenbara fel i loggfilen NDESConnector_date_time.svclog. Eftersom orsaken till det här problemet inte identifieras tydligt i loggar kan du gå igenom följande orsaker.

Orsak 1 – Obearbetade begärandefiler

Granska begärandefilerna efter fel som anger varför de inte kunde bearbetas.

  1. På den server som är värd för Intune Certificate Connector använder du Utforskaren för att navigera till %programfiles%\Microsoft Intune\PfxRequest.

  2. Granska filer i mapparna Misslyckades och Bearbeta med hjälp av valfri textredigerare.

    Skärmbild av mappen PfxRequest.

  3. I de här filerna letar du efter poster som indikerar fel eller föreslår problem. Med hjälp av en webbaserad sökning letar du upp felmeddelandena efter ledtrådar om varför begäran inte kunde bearbetas och för lösningar på dessa problem.

Orsak 2 – Felkonfiguration för PKCS-certifikatprofilen

När du inte hittar begärandefilerna i mapparna Failed, Processing eller Succeed kan orsaken vara att fel certifikat är associerat med PKCS-certifikatprofilen. En underordnad certifikatutfärdare är till exempel associerad med profilen, eller så används fel rotcertifikat.

Lösning:

  1. Granska din betrodda certifikatprofil för att se till att du har distribuerat rotcertifikatet från företagscertifikatutfärdare till enheter.
  2. Granska din PKCS-certifikatprofil för att se till att den refererar till rätt certifikatutfärdare, certifikattyp och den betrodda certifikatprofil som distribuerar rotcertifikatet till enheter.

Mer information finns i Använda certifikat för autentisering i Microsoft Intune.

Fel – 2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

PKCS-certifikat kan inte distribueras, och certifikatkonsolen på den utfärdande certifikatutfärdare visar ett meddelande med strängen -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED, enligt följande exempel:

Active Directory Certificate Services denied request abc123 because The Email name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). The request was for CN=" Common Name".  Additional information: Denied by Policy Module".

Orsak – "Leveransen i begäran" är felkonfigurerad

Det här problemet uppstår om alternativet Ange i begäran inte är aktiverat på fliken Ämnesnamn i dialogrutan Egenskaper för certifikatmall.

Skärmbild av de NDES-egenskaper där alternativet Ange i begäran är markerat.

Lösning:

Redigera mallen för att lösa konfigurationsproblemet:

  1. Logga in på din Enterprise CA med ett konto som har administratörsbehörighet.
  2. Öppna konsolen Certifikatutfärdare , högerklicka på Certifikatmallar och välj Hantera.
  3. Öppna dialogrutan Egenskaper i certifikatmallen.
  4. På fliken Ämnesnamn väljer du Ange i begäran.
  5. Välj OK för att spara certifikatmallen och stäng sedan konsolen Certifikatmallar .
  6. I konsolen Certifikatutfärdare högerklickar du på Mallar>Ny>certifikatmall att utfärda.
  7. Välj mallen som du ändrade och välj sedan OK.