針對 Intune 中的 PKCS 憑證部署進行疑難解答

本文提供在 Microsoft Intune 中部署公鑰密碼編譯標準 (PKCS) 憑證時，數個常見問題的疑難解答指引。 進行疑難解答之前，請確定您已完成下列工作，如設定及使用 PKCS 憑證與 Intune 中所述：

• 檢閱 使用 PKCS 憑證配置檔的需求。
• 從企業證書頒發機構單位匯出跟證書 (CA) 。
• 在證書頒發機構單位上設定證書範本。
• 安裝和設定 Intune 憑證連接器。
• 建立並部署受信任的憑證配置檔以部署跟證書。
• 建立和部署 PKCS 憑證配置檔。

PKCS 憑證配置檔最常見的問題來源是 PKCS 憑證配置檔的設定。 檢閱配置檔組態並尋找伺服器名稱或完整功能變數名稱中的錯字 (FQDN) ，並確認 證書頒發機構單位 和 證書頒發機構單位名稱 正確無誤。

• 證書頒發機構單位：證書頒發機構單位計算機的內部 FQDN。 例如，server1.domain.local。
• 證書頒發機構單位名稱：證書頒發機構單位 MMC 中顯示的證書頒發機構單位名稱。 檢視憑證 頒發機構單位 (本機)

您可以使用 CA 上的 certutil 命令行程式 來確認證書頒發機構單位和證書頒發機構單位名稱的正確名稱。

PKCS 通訊概觀

下圖提供 Intune 中 PKCS 憑證部署程式的基本概觀。

1. 管理員 會在 Intune 中建立 PKCS 憑證配置檔。
2. Intune 服務會要求內部部署 Intune 憑證連接器為使用者建立新的憑證。
3. Intune 憑證連接器會將 PFX Blob 和要求傳送至 Microsoft Certification 授權單位。
4. 證書頒發機構單位會發出 PFX 用戶憑證，並將其傳送回 Intune 憑證連接器。
5. Intune 憑證連接器會將加密的 PFX 使用者憑證上傳至 Intune。
6. Intune 使用 裝置管理 憑證解密 PFX 用戶憑證並重新加密裝置。 Intune 然後將 PFX 用戶憑證傳送至裝置。
7. 裝置會將憑證狀態回報給 Intune。

記錄檔

若要識別通訊和憑證布建工作流程的問題，請檢閱來自伺服器基礎結構和裝置的記錄檔。 針對 PKCS 憑證配置檔進行疑難解答的後續章節會參考本節中所參考的記錄檔。

• 基礎結構和伺服器記錄

裝置記錄取決於裝置平臺：

• iOS 和 iPadOS
• Android
• Windows

內部部署基礎結構的記錄

支援針對憑證部署使用 PKCS 憑證配置檔的內部部署基礎結構包括 Microsoft Intune 憑證連接器和證書頒發機構單位。

這些角色的記錄檔包括 Windows 事件檢視器、憑證主控台，以及 Intune 憑證連接器特有的各種記錄檔，或其他屬於內部部署基礎結構一部分的角色和作業。

• NDESConnector_date_time.svclog：

  此記錄會顯示從 Microsoft Intune 憑證連接器到 Intune 雲端服務的通訊。 您可以使用 服務追蹤檢視器工具 來檢視此記錄檔。

  相關登錄機碼： HKLM\SW\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

  位置：在裝載 Intune 憑證連接器的伺服器上，位於 %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs

• Windows 應用程式記錄：

  位置：在裝載 Intune 憑證連接器的伺服器上：執行 eventvwr.msc 以開啟 Windows 事件檢視器

Android 裝置的記錄

針對執行 Android 的裝置，請使用 Android 公司入口網站 應用程式記錄檔，OMADM.log。 在收集和檢閱記錄之前，請先啟用 [ 詳細信息記錄 ] ，然後重現問題。

若要從裝置收集 OMADM.logs，請參閱 使用 USB 纜線上傳和傳送電子郵件記錄。

您也可以 上傳和傳送電子郵件記錄 以支援。

iOS 和 iPadOS 裝置的記錄

針對執行 iOS/iPadOS 的裝置，您可以使用在 Mac 電腦上執行的偵錯記錄和 Xcode ：

1. 將 iOS/iPadOS 裝置連線到 Mac，然後移至應用程式>公用程式以開啟主控台應用程式。

2. 在 [ 動作] 底下，選取 [ 包含資訊訊息 ] 和 [ 包含偵錯訊息]。

   

3. 重現問題，然後將記錄檔儲存至文本檔：

   1. 選取 [全部編輯>] 以選 取目前畫面上的所有訊息，然後選取 [ 編輯>複製 ] 將訊息複製到剪貼簿。
   2. 開啟 TextEdit 應用程式，將複製的記錄貼到新的文字檔中，然後儲存盤案。

iOS 和 iPadOS 裝置的 公司入口網站 記錄不包含 PKCS 憑證配置檔的相關信息。

Windows 裝置的記錄

對於執行 Windows 的裝置，請使用 Windows 事件記錄來診斷您使用 Intune 管理之裝置的註冊或裝置管理問題。

在裝置上，開啟 事件檢視器>Applications and Services Logs>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider

防毒軟體排除項目

當下列情況時，請考慮在裝載 Intune 憑證連接器的伺服器上新增防病毒軟體排除專案：

• 憑證要求會連線到伺服器或 Intune 憑證連接器，但未成功處理
• 憑證的發行速度緩慢

以下是您可能排除的位置範例：

• %program_files%\Microsoft Intune\PfxRequest
• %program_files%\Microsoft Intune\CertificateRequestStatus
• %program_files%\Microsoft Intune\CertificateRevocationStatus

常見錯誤

下列常見錯誤會在下一節中解決：

• RPC 伺服器無法使用0x800706ba
• 無法找到註冊原則伺服器0x80094015
• 提交擱置中
• 參數不正確0x80070057
• 原則模組拒絕
• 憑證配置檔停滯為擱置中
• 錯誤 -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

RPC 伺服器無法使用0x800706ba

在 PFX 部署期間，受信任的跟證書會出現在裝置上，但 PFX 憑證不會出現在裝置上。 NDESConnector_date_time.svclog 記錄檔包含字串 RPC 伺服器無法使用。0x800706ba，如下列範例的第一行所示：

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x800706BA): CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
IssuePfx -Generic Exception: System.ArgumentException: CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094800): The requested certificate template is not supported by this CA. (Exception from HRESULT: 0x80094800)

原因 1 - Intune 中的 CA 設定不正確

當 PKCS 憑證設定檔指定錯誤的伺服器，或包含 CA 名稱或 FQDN 的拼字錯誤時，就會發生此問題。 CA 是在設定檔的下列屬性中指定：

• 證書頒發機構單位
• 證書頒發機構單位名稱

解決方案：

檢閱下列設定，並修正其是否不正確：

• [ 證書頒發機構單位 ] 屬性會顯示 CA 伺服器的內部 FQDN。
• [ 證書頒發機構單位名稱 ] 屬性會顯示 CA 的名稱。

原因 2 - CA 不支援舊版 CA 憑證所簽署要求的憑證更新

如果 PKCS 憑證設定檔中的 CA FQDN 和名稱正確，請檢閱證書頒發機構單位伺服器上的 Windows 應用程式記錄檔。 尋找類似下列範例 的事件標識碼 128 ：

Log Name: Application:
Source: Microsoft-Windows-CertificationAuthority
Event ID: 128
Level: Warning
Details:
An Authority Key Identifier was passed as part of the certificate request 2268. This feature has not been enabled. To enable specifying a CA key for certificate signing, run: "certutil -setreg ca\UseDefinedCACertInRequest 1" and then restart the service.

當 CA 憑證更新時，它必須簽署在線憑證狀態通訊協定 (OCSP) 回應簽署憑證。 簽署可讓 OCSP 回應簽署憑證藉由檢查其撤銷狀態來驗證其他憑證。 預設不會啟用此簽署。

解決方案：

手動強制簽署憑證：

1. 在 CA 伺服器上，開啟提升許可權的命令提示字元，然後執行下列命令： certutil -setreg ca\UseDefinedCACertInRequest 1
2. 重新啟動憑證服務服務。

憑證服務重新啟動之後，裝置可以接收憑證。

無法找到註冊原則伺服器0x80094015

無法找到註冊原則伺服器 並 0x80094015，如下列範例所示：

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094015): An enrollment policy server cannot be located. (Exception from HRESULT: 0x80094015)

原因 - 憑證註冊原則伺服器名稱

如果裝載 Intune 憑證連接器的電腦找不到憑證註冊原則伺服器，就會發生此問題。

解決方案：

在裝載 Intune 憑證連接器的計算機上，手動設定憑證註冊原則伺服器的名稱。 若要設定名稱，請使用 Add-CertificateEnrollmentPolicyServer PowerShell Cmdlet。

提交擱置中

將 PKCS 憑證配置檔部署至行動裝置之後，不會取得憑證，且 NDESConnector_date_time.svclog 記錄包含字串 提交擱置中，如下列範例所示：

IssuePfx - The submission is pending: Taken Under Submission
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission is pending

此外，在證書頒發機構單位伺服器上，您可以在 [擱置的要求] 資料夾中看到 PFX 要求 ：

原因 - 要求處理的設定不正確

如果選項將要求狀態設定為暫止，就會發生此問題。系統管理員必須在 [證書頒發機構單位內容原則模組>內容] 對話框中，明確發出已選取的憑證>。

解決方案：

編輯要設定的原則模組屬性： 如果適用，請遵循證書範本中的設定。否則，請自動發出憑證。

參數不正確0x80070057

安裝並成功設定 Intune 憑證連接器之後，裝置就不會收到 PKCS 憑證，而 NDESConnector_date_time.svclog 記錄檔包含字串 參數不正確。0x80070057，如下列範例所示：

CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

原因 - PKCS 配置檔的組態

如果 Intune 中的 PKCS 設定檔設定錯誤，就會發生此問題。 以下是常見的錯誤設定：

• 配置檔包含 CA 的名稱不正確。
• 已針對電子郵件位址 (SAN) 設定主體別名，但目標用戶還沒有有效的電子郵件位址。 此組合會產生 SAN 的 Null 值，這是無效的。

解決方案：

確認 PKCS 設定檔的下列設定，然後等候原則在裝置上重新整理：

• 以 CA 的名稱設定
• 指派給正確的使用者群組
• 群組中的使用者具有有效的電子郵件位址

如需詳細資訊，請參閱設定及使用 PKCS 憑證與 Intune。

原則模組拒絕

當裝置收到受信任的跟證書但未收到 PFX 憑證，且 NDESConnector_date_time.svclog 記錄包含字串 提交失敗：原則模組拒絕時，如下列範例所示：

IssuePfx - The submission failed: Denied by Policy Module
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission failed
   at Microsoft.Management.Services.NdesConnector.MicrosoftCA.GetCertificate(PfxRequestDataStorage pfxRequestData, String containerName, String& certificate, String& password)
Issuing Pfx certificate for Device ID <Device ID> failed  

原因 – 證書範本的電腦帳戶許可權

當裝載 Intune 憑證連接器之伺服器的電腦帳戶沒有證書範本的許可權時，就會發生此問題。

解決方案：

1. 使用具有系統管理許可權的帳戶登入您的企業CA。
2. 開啟 [ 證書頒發機構單位 ] 控制台，以滑鼠右鍵按兩下 [ 證書範本]，然後選取 [管理]。
3. 尋找證書範本，然後開啟範本的 [ 屬性 ] 對話方塊。
4. 選取 [安全性] 索引標籤，併為您安裝 Microsoft Intune 憑證連接器的伺服器新增電腦帳戶。 授與該帳戶 讀 取和 註冊 許可權。
5. 選 取 [套用>確定 ] 以儲存證書範本，然後關閉 [ 證書範本] 主控台。
6. 在 [證書頒發機構單位] 控制台中，以滑鼠右鍵按兩下 [要發出的證書範>本] [新增>證書範本]。
7. 選取您修改的範本，然後按下 [ 確定]。

如需詳細資訊， 請參閱在 CA 上設定證書範本。

憑證配置檔停滯為擱置中

在 Microsoft Intune 系統管理中心，PKCS 憑證配置檔無法部署，狀態為 [擱置]。 NDESConnector_date_time.svclog 記錄檔中沒有明顯的錯誤。 因為在記錄中無法清楚識別此問題的原因，所以請解決下列原因。

原因 1 - 未處理的要求檔案

檢閱要求檔案中的錯誤，指出為何無法處理這些錯誤。

1. 在載入 Intune 憑證連接器的伺服器上，使用 檔案總管 流覽至 %programfiles%\Microsoft Intune\PfxRequest。

2. 使用您最愛的文字編輯器，檢閱 [失敗 ] 和 [ 處理] 資料夾中的檔案。

   

3. 在這些檔案中，尋找指出錯誤或建議問題的專案。 使用 Web 型搜尋，查閱錯誤訊息以取得要求無法處理的原因線索，以及尋找這些問題的解決方案。

原因 2 - PKCS 憑證設定檔的設定錯誤

當您在 [失敗]、[ 處理中] 或 [ 成功 ] 資料夾中找不到要求檔案時，原因可能是錯誤的憑證與 PKCS 憑證配置檔相關聯。 例如，次級 CA 與設定檔相關聯，或使用錯誤的跟證書。

解決方案：

1. 檢閱受信任的憑證配置檔，以確保您已將跟證書從企業 CA 部署到裝置。
2. 檢閱您的 PKCS 憑證配置檔，以確保其參考正確的 CA、憑證類型，以及將跟證書部署至裝置的受信任憑證配置檔。

如需詳細資訊，請參閱使用憑證在 Microsoft Intune 中進行驗證。

錯誤 -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

PKCS 憑證無法部署，發行 CA 上的證書控制台會顯示字串 為 -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED 的訊息，如下列範例所示：

Active Directory Certificate Services denied request abc123 because The Email name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). The request was for CN=" Common Name".  Additional information: Denied by Policy Module".

原因 - 「在要求中提供」設定錯誤

如果在證書範本 [內容] 對話方塊的 [主體名稱] 索引標籤上未啟用 [要求中的提供] 選項，就會發生此問題。

解決方案：

編輯樣本以解決設定問題：

1. 使用具有系統管理許可權的帳戶登入您的企業CA。
2. 開啟 [ 證書頒發機構單位 ] 控制台，以滑鼠右鍵按兩下 [ 證書範本]，然後選取 [ 管理]。
3. 開啟憑證範本的 [屬性] 對話框。
4. 在 [ 主體名稱] 索引 標籤上，選取 要求中的 [提供]。
5. 選取 [確定 ] 以儲存證書範本，然後關閉 [ 證書範本] 主控台。
6. 在 [ 證書頒發機構單位 ] 控制台中，以滑鼠右鍵按兩下 [ 範本>] [要發出的新>證書範本]。
7. 選取您修改的範本，然後選取 [ 確定]。