使用 Intune 排查 SCEP 证书配置文件问题
本文提供指导,帮助你排查和解决 Microsoft Intune 中的简单证书注册协议 (SCEP) 证书配置文件的问题。 以下部分介绍这些概念:
- SCEP 过程的体系结构和通信流
- 缩小通信流中存在问题的位置
- 标识后续文章中引用的密钥日志文件,以便对证书配置文件进行故障排除
本文和相关 SCEP 证书故障排除文章中的信息适用于将 SCEP 证书配置文件用于 Android、iOS/iPad 和 Windows 设备。 目前不提供 macOS 的类似信息。 若要排查网络设备注册服务 (NDES) 问题,请参阅以下文章:
在继续操作之前,请确保满足 使用 SCEP 证书配置文件的先决条件,包括通过受信任的证书配置文件部署根证书。
SCEP 通信流概述
下图演示了 Intune 中 SCEP 通信过程的基本概述。 每个步骤都包含一个指向文章的链接,其中包含更多规范性指南。
部署 SCEP 证书配置文件。 Intune生成质询字符串,该字符串需要特定的用户、证书用途和证书类型。
设备到 NDES 服务器的通信。 设备使用配置文件中的 NDES URI 来联系 NDES 服务器,以便它可以提出质询。
NDES 到策略模块的通信。 NDES 将质询转发到服务器上的Intune证书连接器策略模块,该模块将验证请求。
向证书颁发机构提供 NDES。 NDES 将颁发证书的有效请求传递给证书颁发机构 (CA) 。
证书传送到设备。 证书将传递到设备。
向Intune报告部署。 Intune证书连接器向Intune报告证书颁发事件。
日志文件
若要确定通信和证书预配工作流的问题,请查看服务器基础结构和设备中的日志文件。 有关对 SCEP 证书配置文件进行故障排除的后续部分,请参阅本节中引用的日志文件。
设备日志取决于设备平台:
本地基础结构的日志
支持将 SCEP 证书配置文件用于证书部署的本地基础结构包括Microsoft Intune证书连接器、在 Windows Server 上运行的 NDES 以及证书颁发机构。
这些角色的日志文件包括 Windows 事件查看器、证书控制台以及特定于Intune证书连接器、NDES 或属于本地基础结构的其他角色和操作的各种日志文件。
以下列表包括后续 SCEP 故障排除文章中引用的日志或控制台。
NDESConnector_date_time.svclog:
此日志显示从 Microsoft Intune 证书连接器到 Intune 云服务的通信。 可以使用 服务跟踪查看器工具 查看此日志文件。
相关注册表项: HKLM\Software\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus
位置:在 % program_files%\Microsoft intune 托管 NDES 的服务器上,\ndesconnectorsvc\logs\logs
CertificateRegistrationPoint_date_time.svclog:
此日志显示接收和验证证书请求的 NDES 策略模块。 可以使用 服务跟踪查看器工具 查看此日志文件。
位置:在 % program_files%\Microsoft intune 托管 NDES 的服务器上,\ndesconnectorsvc\logs\logs
NDESPlugin.log:
此日志显示证书请求传递到证书注册点的情况,以及这些请求的结果验证。
位置:在 %program_files%\Microsoft Intune\NDESPolicyModule\logs 托管 NDES 的服务器上
IIS 日志:
IIS 日志显示来自进入 NDES 的移动设备的证书请求。
位置:在 c:\inetpub\logs\LogFiles\W3SVC1 托管 NDES 的服务器上
Windows 应用程序日志:
调查 IIS 问题(例如 SCEP 应用程序池)时,此日志非常有用。
位置:在托管 NDES 的服务器上,运行 eventvwr.msc 以打开 Windows 事件查看器
Android 设备的日志
对于运行 Android 的设备,请使用 Android 公司门户 应用日志文件,OMADM.log。 在收集和查看日志之前,请确保已启用 详细日志记录 ,然后重现问题。
若要从设备收集 OMADM.logs,请参阅 使用 USB 电缆上传和通过电子邮件发送日志。
还可以 上传日志并通过电子邮件发送日志 以提供支持。
适用于 iOS 和 iPadOS 设备的日志
对于运行 iOS/iPadOS 的设备,请使用在 Mac 计算机上运行的调试日志和 Xcode :
将 iOS/iPadOS 设备连接到 Mac,然后转到“应用程序实用工具”>以打开“控制台”应用。
在“操作”下,选择“包括信息消息”和“包括调试消息”。
重现问题,然后将日志保存到文本文件:
- 选择 “编辑>”“全选 ”以选择当前屏幕上的所有邮件,然后选择“ 编辑>副本 ”将邮件复制到剪贴板。
- 打开 TextEdit 应用程序,将复制的日志粘贴到新的文本文件中,然后保存该文件。
iOS 和 iPadOS 设备的公司门户日志不包含有关 SCEP 证书配置文件的信息。
Windows 设备的日志
对于运行 Windows 的设备,请使用 Windows 事件日志来诊断使用 Intune 管理的设备的注册或设备管理问题。
在设备上,打开事件查看器>应用程序和服务日志>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider。
后续步骤
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈