使用 Intune 排查 SCEP 证书配置文件问题

本文提供指导，帮助你排查和解决 Microsoft Intune 中的简单证书注册协议 (SCEP) 证书配置文件的问题。以下部分介绍这些概念：

本文和相关 SCEP 证书故障排除文章中的信息适用于将 SCEP 证书配置文件用于 Android、iOS/iPad 和 Windows 设备。目前不提供 macOS 的类似信息。若要排查网络设备注册服务 (NDES) 问题，请参阅以下文章：

在继续操作之前，请确保满足使用 SCEP 证书配置文件的先决条件，包括通过受信任的证书配置文件部署根证书。

SCEP 通信流概述

下图演示了 Intune 中 SCEP 通信过程的基本概述。每个步骤都包含一个指向文章的链接，其中包含更多规范性指南。

若要确定通信和证书预配工作流的问题，请查看服务器基础结构和设备中的日志文件。有关对 SCEP 证书配置文件进行故障排除的后续部分，请参阅本节中引用的日志文件。

设备日志取决于设备平台：

支持将 SCEP 证书配置文件用于证书部署的本地基础结构包括Microsoft Intune证书连接器、在 Windows Server 上运行的 NDES 以及证书颁发机构。

这些角色的日志文件包括 Windows 事件查看器、证书控制台以及特定于Intune证书连接器、NDES 或属于本地基础结构的其他角色和操作的各种日志文件。

以下列表包括后续 SCEP 故障排除文章中引用的日志或控制台。

NDESConnector_date_time.svclog：

此日志显示从 Microsoft Intune 证书连接器到 Intune 云服务的通信。可以使用服务跟踪查看器工具查看此日志文件。

相关注册表项： HKLM\Software\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

位置：在 % program_files%\Microsoft intune 托管 NDES 的服务器上，\ndesconnectorsvc\logs\logs
CertificateRegistrationPoint_date_time.svclog：

此日志显示接收和验证证书请求的 NDES 策略模块。可以使用服务跟踪查看器工具查看此日志文件。

位置：在 % program_files%\Microsoft intune 托管 NDES 的服务器上，\ndesconnectorsvc\logs\logs
NDESPlugin.log：

此日志显示证书请求传递到证书注册点的情况，以及这些请求的结果验证。

位置：在 %program_files%\Microsoft Intune\NDESPolicyModule\logs 托管 NDES 的服务器上
IIS 日志：

IIS 日志显示来自进入 NDES 的移动设备的证书请求。

位置：在 c：\inetpub\logs\LogFiles\W3SVC1 托管 NDES 的服务器上
Windows 应用程序日志：

调查 IIS 问题（例如 SCEP 应用程序池）时，此日志非常有用。

位置：在托管 NDES 的服务器上，运行 eventvwr.msc 以打开 Windows 事件查看器

对于运行 Android 的设备，请使用 Android 公司门户 应用日志文件，OMADM.log。在收集和查看日志之前，请确保已启用详细日志记录，然后重现问题。

对于运行 iOS/iPadOS 的设备，请使用在 Mac 计算机上运行的调试日志和 Xcode ：

将 iOS/iPadOS 设备连接到 Mac，然后转到“应用程序实用工具”>以打开“控制台”应用。
在“操作”下，选择“包括信息消息”和“包括调试消息”。
重现问题，然后将日志保存到文本文件：
1. 选择 “编辑>”“全选 ”以选择当前屏幕上的所有邮件，然后选择“ 编辑>副本 ”将邮件复制到剪贴板。
2. 打开 TextEdit 应用程序，将复制的日志粘贴到新的文本文件中，然后保存该文件。

iOS 和 iPadOS 设备的公司门户日志不包含有关 SCEP 证书配置文件的信息。

对于运行 Windows 的设备，请使用 Windows 事件日志来诊断使用 Intune 管理的设备的注册或设备管理问题。

在设备上，打开事件查看器>应用程序和服务日志>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider。

事件查看器中 Windows 事件日志的屏幕截图。