Intune'da PKCS sertifika dağıtımı sorunlarını giderme

Bu makalede, Microsoft Intune'da Ortak Anahtar Şifreleme Standartları (PKCS) sertifikaları dağıtılırken karşılaşılan bazı yaygın sorunlar için sorun giderme yönergeleri sağlanır. Sorun gidermeden önce, Intune ile PKCS sertifikalarını yapılandırma ve kullanma bölümünde açıklandığı gibi aşağıdaki görevleri tamamladığınızdan emin olun:

• PKCS sertifika profillerini kullanma gereksinimlerini gözden geçirin.
• Kök sertifikayı Kuruluş Sertifika Yetkilisi'nden (CA) dışarı aktarın.
• Sertifika yetkilisinde sertifika şablonlarını yapılandırın.
• Intune Sertifika Bağlayıcısı'nı yükleyin ve yapılandırın.
• Kök sertifikayı dağıtmak için güvenilen bir sertifika profili oluşturun ve dağıtın.
• PKCS sertifika profili oluşturma ve dağıtma.

PKCS sertifika profilleri için en yaygın sorun kaynağı, PKCS sertifika profilinin yapılandırmasıyla olmuştur. Profil yapılandırmasını gözden geçirin, sunucu adlarında veya tam etki alanı adlarında (FQDN) yazım hataları arayın ve Sertifika Yetkilisi ve Sertifika Yetkilisi Adı'nın doğru olduğunu onaylayın.

• Sertifika Yetkilisi: Sertifika Yetkilisi bilgisayarının iç FQDN'si. Örneğin, server1.domain.local.
• Sertifika Yetkilisi Adı: Sertifika yetkilisi MMC'de görüntülenen Sertifika Yetkilisi Adı. Sertifika Yetkilisi (Yerel) altına bakın

Sertifika Yetkilisi ve Sertifika Yetkilisi Adı için doğru adı onaylamak için CA'da certutil komut satırı programını kullanabilirsiniz.

PKCS iletişimlerine genel bakış

Aşağıdaki grafik, Intune'daki PKCS sertifika dağıtım işlemine temel bir genel bakış sağlar.

1. Yönetici, Intune'da bir PKCS sertifika profili oluşturur.
2. Intune hizmeti, şirket içi Intune Sertifika Bağlayıcısı'nın kullanıcı için yeni bir sertifika oluşturmasını istemektedir.
3. Intune Sertifika Bağlayıcısı, Microsoft Sertifika Yetkilinize bir PFX Blobu ve İsteği gönderir.
4. Sertifika Yetkilisi sorunu giderir ve PFX Kullanıcı Sertifikasını Intune Sertifika Bağlayıcısı'na geri gönderir.
5. Intune Sertifika Bağlayıcısı şifrelenmiş PFX Kullanıcı Sertifikasını Intune'a yükler.
6. Intune, PFX Kullanıcı Sertifikası'nın şifresini çözer ve Cihaz Yönetimi Sertifikasını kullanarak cihaz için yeniden şifreler. Intune daha sonra PFX Kullanıcı Sertifikasını Cihaza gönderir.
7. Cihaz sertifika durumunu Intune'a bildirir.

Günlük dosyaları

İletişim ve sertifika sağlama iş akışıyla ilgili sorunları belirlemek için hem Sunucu altyapısından hem de cihazlardan günlük dosyalarını gözden geçirin. PKCS sertifika profillerinde sorun gidermeye yönelik sonraki bölümlerde bu bölümde başvuruda bulunan günlük dosyalarına bakın.

• Altyapı ve Sunucu günlükleri

Cihaz günlükleri cihaz platformuna bağlıdır:

• iOS ve iPadOS
• Android
• Windows

Şirket içi altyapı günlükleri

Sertifika dağıtımları için PKCS sertifika profillerinin kullanımını destekleyen şirket içi altyapı, Microsoft Intune Sertifika Bağlayıcısı'nı ve sertifika yetkilisini içerir.

Bu roller için günlük dosyaları Windows Olay Görüntüleyicisi, Sertifika konsolları ve Intune Sertifika Bağlayıcısı'na özgü çeşitli günlük dosyalarını veya şirket içi altyapının parçası olan diğer rol ve işlemleri içerir.

• NDESConnector_date_time.svclog:

  Bu günlük, Microsoft Intune Sertifika Bağlayıcısı'ndan Intune bulut hizmetine iletişimi gösterir. Bu günlük dosyasını görüntülemek için Hizmet İzleme Görüntüleyicisi Aracı'nı kullanabilirsiniz.

  İlgili kayıt defteri anahtarı: HKLM\SW\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

  Konum: Intune Sertifika Bağlayıcısı'nı %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs konumunda barındıran sunucuda

• Windows Uygulama günlüğü:

  Konum: Intune Sertifika Bağlayıcısı'nı barındıran sunucuda: Windows Olay Görüntüleyicisi açmak için eventvwr.msc dosyasını çalıştırın

Android cihazlar için günlükler

Android çalıştıran cihazlar için Android Şirket Portalı uygulama günlük dosyasını OMADM.log kullanın. Günlükleri toplamadan ve gözden geçirmeden önce Ayrıntılı Günlük kaydının etkinleştirildiğinden emin olun ve ardından sorunu yeniden oluşturun.

OMADM.logs dosyasını bir cihazdan toplamak için bkz . USB kablosu kullanarak günlükleri karşıya yükleme ve e-posta ile gönderme.

Ayrıca, desteklemek için Karşıya yükleme ve e-posta günlükleri de e-posta ile gönderebilirsiniz.

iOS ve iPadOS cihazları için günlükler

iOS/iPadOS çalıştıran cihazlarda, Bir Mac bilgisayarda çalışan hata ayıklama günlüklerini ve Xcode'u kullanırsınız:

1. iOS/iPadOS cihazını Mac'e bağlayın ve ardından Konsol uygulamasını açmak için Uygulamalar>Yardımcı Programları'na gidin.

2. Eylem'in altında Bilgi İletilerini Ekle ve Hata Ayıklama İletilerini Ekle'yi seçin.

   

3. Sorunu yeniden oluşturun ve günlükleri bir metin dosyasına kaydedin:

   1. Geçerli ekrandaki tüm iletileri seçmek için Tümünü Seç'i düzenle'yi>seçin ve ardından iletileri panoya kopyalamak için Kopyayı Düzenle'yi>seçin.
   2. TextEdit uygulamasını açın, kopyalanan günlükleri yeni bir metin dosyasına yapıştırın ve dosyayı kaydedin.

iOS ve iPadOS cihazları için Şirket Portalı günlüğü PKCS sertifika profilleri hakkında bilgi içermez.

Windows cihazları için günlükler

Windows çalıştıran cihazlarda, Intune ile yönettiğiniz cihazların kayıt veya cihaz yönetimi sorunlarını tanılamak için Windows Olay günlüklerini kullanın.

Cihazda Olay Görüntüleyicisi> Uygulamalar ve Hizmet Günlükleri>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider'ı açın

Virüsten koruma dışlamaları

Aşağıdaki durumlarda Intune Sertifika Bağlayıcısı'nı barındıran sunuculara Virüsten Koruma dışlamaları eklemeyi göz önünde bulundurun:

• Sertifika istekleri sunucuya veya Intune Sertifika Bağlayıcısı'na ulaşır, ancak başarıyla işlenmez
• Sertifikalar yavaş verilir

Aşağıda, hariç tutabileceğiniz konum örnekleri verilmiştir:

• %program_files%\Microsoft Intune\PfxRequest
• %program_files%\Microsoft Intune\CertificateRequestStatus
• %program_files%\Microsoft Intune\CertificateRevocationStatus

Sık karşılaşılan hatalar

Aşağıdaki yaygın hataların her birine aşağıdaki bölümde değinilir:

• RPC sunucusu kullanılamıyor 0x800706ba
• Kayıt ilkesi sunucusu 0x80094015 bulunamıyor
• Gönderim bekliyor
• Parametre yanlış 0x80070057
• İlke Modülü Tarafından Reddedildi
• Sertifika profili Beklemede olarak takıldı
• Hata -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

RPC sunucusu kullanılamıyor 0x800706ba

PFX dağıtımı sırasında, güvenilen kök sertifika cihazda görünür, ancak PFX sertifikası cihazda görünmez. NDESConnector_date_time.svclog günlük dosyası RPC sunucusu kullanılamıyor dizesini içerir. aşağıdaki örneğin ilk satırında görüldüğü gibi 0x800706ba:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x800706BA): CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
IssuePfx -Generic Exception: System.ArgumentException: CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094800): The requested certificate template is not supported by this CA. (Exception from HRESULT: 0x80094800)

Neden 1 - Intune'da CA'nın yanlış yapılandırması

BU sorun, PKCS sertifika profili yanlış sunucuyu belirttiğinde veya CA'nın adı veya FQDN'sinde yazım hataları içerdiğinde oluşabilir. CA, profilin aşağıdaki özelliklerinde belirtilir:

• Sertifika yetkilisi
• Sertifika yetkilisi adı

Çözüm:

Aşağıdaki ayarları gözden geçirin ve hatalıysa düzeltin:

• Sertifika yetkilisi özelliği, CA sunucunuzun iç FQDN'sini görüntüler.
• Sertifika yetkilisi adı özelliği, CA'nızın adını görüntüler.

Neden 2 - CA, önceki CA sertifikaları tarafından imzalanan istekler için sertifika yenilemeyi desteklemiyor

CA FQDN ve adı PKCS sertifika profilinde doğruysa, sertifika yetkilisi sunucusunda bulunan Windows Uygulama günlüğünü gözden geçirin. Aşağıdaki örneğe benzer bir Olay Kimliği 128'i arayın:

Log Name: Application:
Source: Microsoft-Windows-CertificationAuthority
Event ID: 128
Level: Warning
Details:
An Authority Key Identifier was passed as part of the certificate request 2268. This feature has not been enabled. To enable specifying a CA key for certificate signing, run: "certutil -setreg ca\UseDefinedCACertInRequest 1" and then restart the service.

CA sertifikası yenilendiğinde, Çevrimiçi Sertifika Durum Protokolü (OCSP) Yanıt İmzalama sertifikasını imzalaması gerekir. İmzalama, OCSP Yanıt İmzalama sertifikasının iptal durumlarını denetleyerek diğer sertifikaları doğrulamasını sağlar. Bu imzalama varsayılan olarak etkin değildir.

Çözüm:

Sertifikanın el ile imzasını zorlama:

1. CA sunucusunda yükseltilmiş bir Komut İstemi açın ve şu komutu çalıştırın: certutil -setreg ca\UseDefinedCACertInRequest 1
2. Sertifika Hizmetleri hizmetini yeniden başlatın.

Sertifika Hizmetleri hizmeti yeniden başlatıldıktan sonra cihazlar sertifika alabilir.

Kayıt ilkesi sunucusu 0x80094015 bulunamıyor

Aşağıdaki örnekte görüldüğü gibi kayıt ilkesi sunucusu bulunamaz ve 0x80094015:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094015): An enrollment policy server cannot be located. (Exception from HRESULT: 0x80094015)

Neden - Sertifika kayıt ilkesi sunucu adı

Bu sorun, Intune Sertifika Bağlayıcısı'nı barındıran bilgisayar bir sertifika kayıt ilkesi sunucusunu bulamıyorsa oluşur.

Çözüm:

Intune Sertifika Bağlayıcısı'nı barındıran bilgisayarda sertifika kayıt ilkesi sunucusunun adını el ile yapılandırın. Adı yapılandırmak için Add-CertificateEnrollmentPolicyServer PowerShell cmdlet'ini kullanın.

Gönderim bekliyor

Bir PKCS sertifika profilini mobil cihazlara dağıttığınızda, sertifikalar alınmaz ve NDESConnector_date_time.svclog günlüğü aşağıdaki örnekte görüldüğü gibi Gönderimin beklemede olduğu dizesini içerir:

IssuePfx - The submission is pending: Taken Under Submission
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission is pending

Ayrıca, sertifika yetkilisi sunucusunda Bekleyen İstekler klasöründe PFX isteğini görebilirsiniz:

Neden - İstek İşleme için yanlış yapılandırma

İstek durumunu beklemede olarak ayarla seçeneği kullanıldığında bu sorun oluşur. Yöneticinin sertifika yetkilisi Özellikler>İlkesi Modül>Özellikleri iletişim kutusunda seçilen sertifikayı açıkça vermesi gerekir.

Çözüm:

İlke Modülü özelliklerini düzenleyerek ayarlayın: Varsa sertifika şablonundaki ayarları izleyin. Aksi takdirde, sertifikayı otomatik olarak verin.

Parametre yanlış 0x80070057

Intune Sertifika Bağlayıcısı başarıyla yüklenip yapılandırıldığında, cihazlar PKCS sertifikalarını almaz ve NDESConnector_date_time.svclog günlüğü Parametre yanlış dizesini içerir. aşağıdaki örnekte görüldüğü gibi 0x80070057:

CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

Neden - PKCS profilinin yapılandırması

Intune'daki PKCS profili yanlış yapılandırılmışsa bu sorun oluşur. Yaygın yanlış yapılandırmalar şunlardır:

• Profil, CA için yanlış bir ad içeriyor.
• Konu Alternatif Adı (SAN) e-posta adresi için yapılandırılmış, ancak hedeflenen kullanıcının henüz geçerli bir e-posta adresi yok. Bu birleşim, SAN için geçersiz olan null bir değerle sonuçlanır.

Çözüm:

PKCS profili için aşağıdaki yapılandırmaları doğrulayın ve ardından ilkenin cihazda yenilenmesini bekleyin:

• CA adıyla yapılandırıldı
• Doğru kullanıcı grubuna atandı
• Gruptaki kullanıcıların geçerli e-posta adresleri var

Daha fazla bilgi için bkz . Intune ile PKCS sertifikalarını yapılandırma ve kullanma.

İlke Modülü Tarafından Reddedildi

Cihazlar güvenilen kök sertifikayı aldığında ancak PFX sertifikasını almadığında ve NDESConnector_date_time.svclog günlüğü aşağıdaki örnekte görüldüğü gibi Gönderim başarısız oldu: İlke Modülü tarafından reddedildi dizesini içerir:

IssuePfx - The submission failed: Denied by Policy Module
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission failed
   at Microsoft.Management.Services.NdesConnector.MicrosoftCA.GetCertificate(PfxRequestDataStorage pfxRequestData, String containerName, String& certificate, String& password)
Issuing Pfx certificate for Device ID <Device ID> failed  

Neden – Sertifika şablonu için Bilgisayar Hesabı izinleri

Bu sorun, Intune Sertifika Bağlayıcısı'nı barındıran sunucunun Bilgisayar Hesabı'nın sertifika şablonuna yönelik izinleri olmadığında oluşur.

Çözüm:

1. Kurumsal CA'nızda yönetici ayrıcalıklarına sahip bir hesapla oturum açın.
2. Sertifika Yetkilisi konsolunu açın, Sertifika Şablonları'na sağ tıklayın ve Yönet'i seçin.
3. Sertifika şablonunu bulun ve şablonun Özellikler iletişim kutusunu açın.
4. Güvenlik sekmesini seçin ve Microsoft Intune Sertifika Bağlayıcısı'nı yüklediğiniz sunucu için Bilgisayar Hesabı'nı ekleyin. Bu hesaba Okuma ve Kaydetme izinleri verin.
5. Sertifika şablonunu kaydetmek için Tamam Uygula'yı>seçin ve sertifika şablonları konsolunu kapatın.
6. Sertifika Yetkilisi konsolunda, Sertifika Şablonları>Yeni>Sertifika Şablonu'na sağ tıklayın.
7. Değiştirdiğiniz şablonu seçin ve tamam'a tıklayın.

Daha fazla bilgi için bkz . CA'da sertifika şablonlarını yapılandırma.

Sertifika profili Beklemede olarak takıldı

Microsoft Intune yönetim merkezinde PKCS sertifika profilleri Beklemede durumuyla dağıtılamaz. NDESConnector_date_time.svclog günlük dosyasında belirgin bir hata yok. Bu sorunun nedeni günlüklerde net bir şekilde tanımlanmadığı için aşağıdaki nedenleri inceleyin.

Neden 1 - İşlenmemiş istek dosyaları

neden işlenemediklerini gösteren hatalar için istek dosyalarını gözden geçirin.

1. Intune Sertifika Bağlayıcısı'nı barındıran sunucuda Dosya Gezgini kullanarak %programfiles%\Microsoft Intune\PfxRequest konumuna gidin.

2. Sık kullandığınız metin düzenleyiciyi kullanarak Başarısız ve İşleniyor klasörlerindeki dosyaları gözden geçirin.

   

3. Bu dosyalarda, hataları gösteren veya sorun öneren girdileri arayın. Web tabanlı arama kullanarak, isteğin neden işlenemediğine ilişkin ipuçları ve bu sorunların çözümleri için hata iletilerini arayın.

Neden 2 - PKCS sertifika profili için yanlış yapılandırma

İstek dosyalarını Başarısız, İşleniyor veya Başarılı klasörlerinde bulamazsanız, bunun nedeni PKCS sertifika profiliyle yanlış sertifikanın ilişkilendirilmesi olabilir. Örneğin, bir alt CA profille ilişkilendirilir veya yanlış kök sertifika kullanılır.

Çözüm:

1. Kök sertifikayı Kurumsal CA'nızdan cihazlara dağıttıktan emin olmak için güvenilen sertifika profilinizi gözden geçirin.
2. Kök sertifikayı cihazlara dağıtan doğru CA'ya, sertifika türüne ve güvenilen sertifika profiline başvurduğunu doğrulamak için PKCS sertifika profilinizi gözden geçirin.

Daha fazla bilgi için bkz . Microsoft Intune'da kimlik doğrulaması için sertifikaları kullanma.

Hata -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

PKCS sertifikaları dağıtılamaz ve sertifika veren CA'daki sertifika konsolu, aşağıdaki örnekte görüldüğü gibi -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED dizesini içeren bir ileti görüntüler:

Active Directory Certificate Services denied request abc123 because The Email name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). The request was for CN=" Common Name".  Additional information: Denied by Policy Module".

Neden - "İstekte sağlama" yanlış yapılandırılmış

Bu sorun, sertifika şablonu Özellikler iletişim kutusundaki Konu Adı sekmesinde İstekte sağla seçeneği etkinleştirilmediyse oluşur.

Çözüm:

Yapılandırma sorununu çözmek için şablonu düzenleyin:

1. Kurumsal CA'nızda yönetici ayrıcalıklarına sahip bir hesapla oturum açın.
2. Sertifika Yetkilisi konsolunu açın, Sertifika Şablonları'na sağ tıklayın ve Yönet'i seçin.
3. Sertifika şablonunun Özellikler iletişim kutusunu açın.
4. Konu Adı sekmesinde, istekte Sağla'yı seçin.
5. Sertifika şablonunu kaydetmek için Tamam'ı seçin ve ardından Sertifika Şablonları konsolunu kapatın.
6. Sertifika Yetkilisi konsolunda Şablonlar Yeni>Sertifika Şablonu'na sağ tıklayarak Sorunu Çöz'e tıklayın.>
7. Değiştirdiğiniz şablonu seçin ve ardından Tamam'ı seçin.