Rozwiązywanie problemów z wdrożeniem certyfikatu PKCS w usłudze Microsoft IntuneTroubleshoot PKCS certificate deployment in Microsoft Intune

Informacje przedstawione w tym artykule mogą pomóc w rozwiązaniu typowych problemów związanych z wdrażaniem certyfikatów par kluczy prywatnych i publicznych (PKCS) w usłudze Microsoft Intune.The information in this article can help you resolve several common issues when deploying private and public key pair (PKCS) certificates in Microsoft Intune. Przed rozpoczęciem rozwiązywania problemów upewnij się, że zostały wykonane następujące zadania, zgodnie z opisem w temacie Konfigurowanie certyfikatów PKCS i korzystanie z nich za pomocą usługi Intune:Before troubleshooting, ensure you’ve completed the following tasks as found in Configure and use PKCS certificates with Intune:

  • Zapoznaj się z wymaganiami dotyczącymi używania profilów certyfikatów PKCSReview the requirements for using PKCS certificate profiles
  • Eksportowanie certyfikatu głównego z urzędu certyfikacji przedsiębiorstwa (CA)Export the root certificate from the Enterprise Certification Authority (CA)
  • Konfigurowanie szablonów certyfikatów w urzędzie certyfikacjiConfigure certificate templates on the certification authority
  • Instalowanie i konfigurowanie łącznika certyfikatów usługi IntuneInstall and configure the Intune Certificate Connector
  • Tworzenie i wdrażanie profilu zaufanego certyfikatu w celu wdrożenia certyfikatu głównegoCreate and deploy a trusted certificate profile to deploy the root certificate
  • Tworzenie i wdrażanie profilu certyfikatu PKCSCreate and deploy a PKCS certificate profile

Najczęstszym źródłem problemów z profilami certyfikatów PKCS jest konfiguracja profilu certyfikatu PKCS.The most common source of problems for PKCS certificate profiles has been with the configuration of the PKCS certificate profile. Przejrzyj konfigurację profilów i wyszukaj literówki w nazwach serwerów lub w pełni kwalifikowanych nazwach domen (FQDN) i upewnij się, że Urząd certyfikacji i Nazwa urzędu certyfikacji są poprawne.Review the profiles configuration and look for typos in server names or fully qualified domain names (FQDNs), and confirm the Certificate Authority and Certificate Authority Name are correct.

  • Urząd certyfikacji : Wewnętrzna nazwa FQDN komputera urzędu certyfikacji.Certification Authority : The internal FQDN of the Certificate Authority computer. Na przykład serwer1.domena.lokalny.For example, server1.domain.local.
  • Nazwa urzędu certyfikacji : Nazwa urzędu certyfikacji, która jest wyświetlana w konsoli MMC urzędu certyfikacji.Certification Authority Name : The Certificate Authority Name as displayed in the certification authority MMC. Zobacz w obszarze Urząd certyfikacji (lokalny)Look under Certification Authority (Local)

Aby potwierdzić poprawną nazwę urzędu certyfikacji i nazwy urzędu certyfikacji, można użyć narzędzia wiersza polecenia certutil w urzędzie certyfikacji.You can use the certutil command-line program on the CA to confirm the correct name for the Certification Authority and Certification Authority Name.

Omówienie komunikacji PKCSPKCS communication overview

Poniższa ilustracja zawiera ogólny opis procesu wdrażania certyfikatów PKCS w usłudze Intune.The following graphic provides a basic overview of the PKCS certificate deployment process in Intune.

Przepływ profilu certyfikatu PKCSPKCS certificate profile flow

  1. Administrator tworzy profil certyfikatu PKCS w usłudze Intune.An Admin creates a PKCS certificate profile in Intune.
  2. Usługa Intune żąda od lokalnego łącznika certyfikatów usługi Intune utworzenia nowego certyfikatu dla użytkownika.The Intune service requests that the on-premises Intune Certificate Connector create a new certificate for the user.
  3. Łącznik certyfikatów usługi Intune wysyła obiekt BLOB PFX i żądanie do Twojego urzędu certyfikacji firmy Microsoft.The Intune Certificate Connector sends a PFX Blob and Request to your Microsoft Certification Authority.
  4. Urząd certyfikacji wystawia i wysyła certyfikat użytkownika PFX z powrotem do łącznika certyfikatów usługi Intune.The Certification Authority issues and sends the PFX User Certificate back to the Intune Certificate Connector.
  5. Łącznik certyfikatów usługi Intune przekazuje zaszyfrowany certyfikat użytkownika PFX do usługi Intune.The Intune Certificate Connector uploads the encrypted PFX User Certificate to Intune.
  6. Usługa Intune odszyfrowuje certyfikat użytkownika PFX i szyfruje go ponownie dla urządzenia przy użyciu certyfikatu zarządzania urządzeniami.Intune decrypts the PFX User Certificate and re-encrypts for the device using the Device Management Certificate. Następnie usługa Intune wysyła do urządzenia certyfikat użytkownika PFX.Intune then sends the PFX User Certificate to the Device.
  7. Urządzenie raportuje stan certyfikatu do usługi Intune.The device reports the certificate status to Intune.

Pliki danych i dziennikaData and Log files

Aby zidentyfikować problemy z komunikacją i przepływem pracy aprowizowania certyfikatów, przejrzyj pliki dziennika z infrastruktury serwera i urządzeń.To identify problems for the communication and certificate provisioning workflow, review log files from both the Server infrastructure, and from devices. Dalsze sekcje dotyczące rozwiązywania problemów z profilami certyfikatów PKCS odnoszą się do plików dziennika wspomnianych w tej sekcji.Later sections for troubleshooting PKCS certificate profiles refer to log files referenced in this section.

Dzienniki urządzeń zależą od platformy urządzenia:Device logs depend on the device platform:

Dzienniki dotyczące infrastruktury lokalnejLogs for on-premises infrastructure

Infrastruktura lokalna, która obsługuje używanie profilów certyfikatów PKCS na potrzeby wdrożeń certyfikatów, obejmuje łącznik certyfikatów usługi Microsoft Intune i urząd certyfikacji.On-premises infrastructure that supports use of PKCS certificate profiles for certificate deployments includes the Microsoft Intune Certificate Connector and the certification authority.

Pliki dzienników dla tych ról obejmują Podgląd zdarzeń systemu Windows, konsole certyfikatów i różne pliki dzienników specyficzne dla łącznika certyfikatów usługi Intune lub innych ról i operacji, które są częścią infrastruktury lokalnej.Log files for these roles include Windows Event Viewer, Certificate consoles, and various log files specific to the Intune Certificate Connector, or other role and operations that are part of the on-premises infrastructure.

  • NDESConnector_date_time.svclog :NDESConnector_date_time.svclog :

    Ten dziennik przedstawia komunikację z łącznika certyfikatów usługi Microsoft Intune do usługi Intune w chmurze.This log shows communication from the Microsoft Intune Certificate Connector to the Intune cloud service. Aby wyświetlić ten plik dziennika, możesz użyć narzędzia do przeglądania danych śledzenia usług.You can use the Service Trace Viewer Tool to view this log file.

    Powiązany klucz rejestru: HKLM\SW\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatusRelated registry key: HKLM\SW\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

    Lokalizacja: Na serwerze, który hostuje łącznik certyfikatów usługi Intune, w folderze %program_files%\Microsoft intune\ndesconnectorsvc\logs\logsLocation: On the server that hosts the Intune Certificate Connector at %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs

  • Dziennik aplikacji systemu Windows :Windows Application log :

    Lokalizacja: Na serwerze hostującym łącznik certyfikatów usługi Intune: Uruchom plik eventvwr.msc , aby otworzyć Podgląd zdarzeń systemu WindowsLocation: On the server that hosts the Intune Certificate Connector: Run eventvwr.msc to open Windows Event Viewer

Dzienniki dotyczące urządzeń z systemem AndroidLogs for Android devices

W przypadku urządzeń z systemem Android użyj pliku dziennika aplikacji Portal firmy dla systemu Android o nazwie OMADM.log.For devices that run Android, use the Android Company Portal app log file, OMADM.log. Przed zebraniem i przejrzeniem dzienników upewnij się, że włączono pełne rejestrowanie, a następnie odtwórz problem.Before you collect and review logs, enable ensure Verbose Logging is enabled, and then reproduce the issue.

Aby zebrać plik OMADM.logs z urządzenia, zobacz temat Przekazywanie i przesyłanie dzienników pocztą e-mail przy użyciu kabla USB.To collect the OMADM.logs from a device, see Upload and email logs using a USB cable.

Możesz również przekazywać dzienniki i wysyłać je pocztą e-mail w celu obsługi.You can also Upload and email logs to support.

Dzienniki dotyczące urządzeń z systemem iOS i iPadOSLogs for iOS and iPadOS devices

W przypadku urządzeń z systemem iOS/iPadOS należy użyć dzienników debugowania i Xcode , które są uruchamiane na komputerze Mac:For devices that run iOS/iPadOS, you use debug logs and Xcode that runs on a Mac computer:

  1. Podłącz urządzenie z systemem iOS/iPadOS do komputera Mac, a następnie przejdź do pozycji Aplikacje > Narzędzia , aby otworzyć aplikację Konsola.Connect the iOS/iPadOS device to Mac, and then go to Applications > Utilities to open the Console app.

  2. W obszarze akcji wybierz opcje uwzględniania komunikatów informacyjnych i uwzględniania komunikatów debugowania.Under Action , select Include Info Messages and Include Debug Messages.

    Wybieranie opcji dzienników

  3. Odtwórz problem, a następnie zapisz dzienniki w pliku tekstowym:Reproduce the problem, and then save the logs to a text file:

    1. Wybierz pozycję Edytuj > Zaznacz wszystko , aby zaznaczyć wszystkie komunikaty na bieżącym ekranie, a następnie wybierz pozycję Edytuj > Kopiuj , aby skopiować komunikaty do schowka.Select Edit > Select All to select all the messages on the current screen, and then select Edit > Copy to copy the messages to the clipboard.
    2. Otwórz aplikację TextEdit, wklej skopiowane dzienniki do nowego pliku tekstowego, a następnie zapisz plik.Open the TextEdit application, paste the copied logs into a new text file, and then save the file.

Dziennik Portalu firmy dla urządzeń z systemem iOS i iPadOS nie zawiera informacji o profilach certyfikatów PKCS.The Company Portal log for iOS and iPadOS devices doesn't contain information about PKCS certificate profiles.

Dzienniki dotyczące urządzeń z systemem WindowsLogs for Windows devices

W przypadku urządzeń z systemem Windows należy używać dzienników zdarzeń systemu Windows do diagnozowania problemów z rejestracją lub zarządzaniem urządzeniami, jeśli zarządzanie urządzeniami odbywa się za pomocą usługi Intune.For devices that run Windows, use the Windows Event logs to diagnose enrollment or device management issues for devices that you manage with Intune.

Na urządzeniu otwórz obszar Podgląd zdarzeń > Dzienniki aplikacji i usług > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-ProviderOn the device, open Event Viewer > Applications and Services Logs > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider

Dzienniki zdarzeń systemu Windows

Wykluczenia w oprogramowaniu antywirusowymAntivirus exclusions

Rozważ dodanie wykluczeń w oprogramowaniu antywirusowym na serwerach, które hostują łącznik certyfikatów usługi Intune, gdy:Consider adding Antivirus exclusions on servers that host the Intune Certificate Connector when:

  • żądania certyfikatów docierają do serwera lub łącznika certyfikatów usługi Intune, ale nie są pomyślnie przetwarzane,Certificate requests reach the server or the Intune Certificate Connector, but are not successfully processed
  • certyfikaty są wystawiane powoli.Certificates are issued slowly

Poniżej przedstawiono przykłady lokalizacji, które można wykluczyć:The following are examples of locations that you might exclude:

  • %program_files% \Microsoft Intune\PfxRequest%program_files% \Microsoft Intune\PfxRequest
  • %program_files% \Microsoft Intune\CertificateRequestStatus%program_files% \Microsoft Intune\CertificateRequestStatus
  • %program_files% \Microsoft Intune\CertificateRevocationStatus%program_files% \Microsoft Intune\CertificateRevocationStatus

Typowe błędyCommon errors

W poniższej sekcji zostały opisane następujące typowe błędy:The following common errors are each addressed in a following section:

Serwer RPC jest niedostępny 0x800706baThe RPC server is unavailable 0x800706ba

Podczas wdrażania PFX zaufany certyfikat główny pojawia się na urządzeniu, ale certyfikat PFX — nie.During PFX deployment, the trusted root certificate appears on the device but the PFX certificate doesn't appear on the device. Plik dziennika NDESConnector_date_time.svclog zawiera ciąg The RPC server is unavailable. 0x800706ba (Serwer RPC jest niedostępny. 0x800706ba), jak pokazano w pierwszym wierszu poniższego przykładu:The NDESConnector_date_time.svclog log file contains the string The RPC server is unavailable. 0x800706ba , as seen in the first line of the following example:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x800706BA): CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
IssuePfx -Generic Exception: System.ArgumentException: CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094800): The requested certificate template is not supported by this CA. (Exception from HRESULT: 0x80094800)

Przyczyna 1 — nieprawidłowa konfiguracja urzędu certyfikacji w usłudze IntuneCause 1 - Incorrect configuration of the CA in Intune

Ten problem może wystąpić, gdy profil certyfikatu PKCS zawiera nieprawidłowy serwer lub gdy nazwa lub nazwa FQDN urzędu certyfikacji jest niepoprawnie napisana.This issue can occur when the PKCS certificate profile specifies the wrong server, or contains spelling errors for the name or FQDN of the CA. Urząd certyfikacji jest podany w następujących właściwościach profilu:The CA is specified in the following properties of the profile:

  • Certification authlubityCertification authority
  • Nazwa urzędu certyfikacjiCertification authority name

Rozwiązanie :Resolution :

Przejrzyj poniższe ustawienia i popraw je, jeśli są nieprawidłowe:Review the following settings, and fix if they're incorrect:

  • Właściwość Urząd certyfikacji to wewnętrzna nazwa FQDN serwera urzędu certyfikacji.The Certification authority property displays the internal FQDN of your CA server.
  • Właściwość Nazwa urzędu certyfikacji to nazwa urzędu certyfikacji.The Certification authority name property displays the name of your CA.

Przyczyna 2 — urząd certyfikacji nie obsługuje odnawiania certyfikatów dla żądań podpisanych przez poprzednie certyfikaty urzędu certyfikacjiCause 2 - CA doesn’t support certificate renewal for requests signed by previous CA certificates

Jeśli nazwa FQDN urzędu certyfikacji w profilu certyfikatu PKCS jest prawidłowa, przejrzyj dziennik aplikacji systemu Windows, który znajduje się na serwerze urzędu certyfikacji.If the CA FQDN and name are correct in the PKCS certificate profile, review the Windows Application log that’s on the certificate authority server. Wyszukaj identyfikator zdarzenia 128 , który przypomina poniższy przykład:Look for an Event ID 128 that resembles the following example:

Log Name: Application:
Source: Microsoft-Windows-CertificationAuthority
Event ID: 128
Level: Warning
Details:
An Authority Key Identifier was passed as part of the certificate request 2268. This feature has not been enabled. To enable specifying a CA key for certificate signing, run: "certutil -setreg ca\UseDefinedCACertInRequest 1" and then restart the service.

W przypadku odnowienia certyfikatu urzędu certyfikacji należy podpisać certyfikat podpisywania odpowiedzi protokołu stanu certyfikatów online (OCSP).When the CA certificate renews, it must sign the Online Certificate Status Protocol (OCSP) Response Signing certificate. Dzięki podpisaniu certyfikat podpisywania odpowiedzi protokołu OCSP może weryfikować inne certyfikaty przez sprawdzenie ich stanu odwołania.Signing enables the OCSP Response Signing certificate to validate other certificates by checking on their revocation status. To podpisywanie nie jest domyślnie włączone.This signing isn’t enabled by default.

Rozwiązanie :Resolution :

Ręcznie wymuś podpisywanie certyfikatu:Manually force signing of the certificate:

  1. Na serwerze urzędu certyfikacji otwórz wiersz polecenia z podwyższonym poziomem uprawnień i uruchom następujące polecenie: certutil -setreg ca\UseDefinedCACertInRequest 1On the CA server, open an elevated Command Prompt and run the following command: certutil -setreg ca\UseDefinedCACertInRequest 1
  2. Uruchom ponownie usługę Certificate Services.Restart the Certificate Services service.

Po ponownym uruchomieniu usługi Certificate Services urządzenia mogą otrzymywać certyfikaty.After the Certificate Services service restarts, devices can receive certificates.

Nie można zlokalizować serwera zasad rejestracji 0x80094015An enrollment policy server cannot be located 0x80094015

An enrollment policy server cannot be located (Nie można zlokalizować serwera zasad rejestracji) i 0x80094015 , jak pokazano w następującym przykładzie:An enrollment policy server cannot be located and 0x80094015 , as seen in the following example:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094015): An enrollment policy server cannot be located. (Exception from HRESULT: 0x80094015)

Przyczyna - nazwa serwera zasad rejestracji certyfikatuCause - Certificate enrollment policy server name

Ten problem występuje, gdy komputer hostujący łącznik certyfikatów usługi Intune nie może zlokalizować serwera zasad rejestracji certyfikatów.This issue occurs if the computer that hosts the Intune Certificate Connector can't locate a certificate enrollment policy server.

Rozwiązanie :Resolution :

Ręcznie skonfiguruj nazwę serwera zasad rejestracji certyfikatów na komputerze hostującym łącznik certyfikatów usługi Intune.Manually configure the name of the certificate enrollment policy server on the computer that hosts the Intune Certificate Connector. Aby skonfigurować nazwę, użyj polecenia cmdlet programu PowerShell Add-CertificateEnrollmentPolicyServer.To configure the name, use the Add-CertificateEnrollmentPolicyServer PowerShell cmdlet.

Trwa oczekiwanie na przesyłanieThe submission is pending

Po wdrożeniu profilu certyfikatu PKCS na urządzeniach przenośnych certyfikaty nie zostają pobrane, a dziennik NDESConnector_date_time.svclog zawiera ciąg The submission is pending (Trwa oczekiwanie na przesyłanie), jak pokazano w następującym przykładzie:After you deploy a PKCS certificate profile to mobile devices, the certificates aren't acquired, and the NDESConnector_date_time.svclog log contains the string The submission is pending , as seen in the following example:

IssuePfx - The submission is pending: Taken Under Submission
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission is pending

Ponadto na serwerze urzędu certyfikacji można zobaczyć żądanie PFX w folderze Żądania oczekujące :In addition, on the certificate authority server, you can see the PFX request in the Pending Requests folder:

Zrzut ekranu przedstawiający folder żądań oczekujących urzędu certyfikacjiScreenshot of the Certification Authority pending requests folder

Przyczyna — nieprawidłowa konfiguracja obsługi żądańCause - Incorrect configuration for Request Handling

Ten problem występuje, gdy opcja Set the request status to pending. The administrator must explicitly issue the certificat (Ustaw stan żądania na oczekujące. Administrator musi jawnie wystawić certyfikat) jest wybrana oknie dialogowym Właściwości > Moduł zasad > Właściwości urzędu certyfikacji.This issue occurs if the option Set the request status to pending. The administrator must explicitly issue the certificate is selected in the certificate authority Properties > Policy Module > Properties dialog box.

Zrzut ekranu przedstawiający właściwości modułu zasadScreenshot of the Policy Module properties

Rozwiązanie :Resolution :

Edytuj właściwości modułu zasad, aby ustawić opcję: Użyj ustawień z szablonu certyfikatu, jeśli znajduje on zastosowanie. W przeciwnym razie automatycznie wystaw certyfikat.Edit the Policy Module properties to set: Follow the settings in the certificate template, if applicable. Otherwise, automatically issue the certificate.

Parametr jest nieprawidłowy 0x80070057The parameter is incorrect 0x80070057

Po pomyślnym zainstalowaniu i skonfigurowaniu łącznika certyfikatów usługi Intune urządzenia nie otrzymują certyfikatów PKCS, a dziennik NDESConnector_date_time.svclog zawiera ciąg The parameter is incorrect. 0x80070057 (Parametr jest nieprawidłowy. 0x80070057), jak pokazano w następującym przykładzie:With the Intune Certificate Connector installed and configured successfully, devices don't receive PKCS certificates and the NDESConnector_date_time.svclog log contains the string The parameter is incorrect. 0x80070057 , as seen in the following example:

CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

Przyczyna — konfiguracja profilu PKCSCause - Configuration of the PKCS profile

Ten problem występuje, jeśli profil PKCS w usłudze Intune jest nieprawidłowo skonfigurowany.This issue occurs if the PKCS profile in Intune is misconfigured. Poniżej przedstawiono typowe nieprawidłowe konfiguracje:The following are common misconfigurations:

  • Profil zawiera nieprawidłową nazwę urzędu certyfikacji.The profile includes an incorrect name for the CA.
  • Alternatywna nazwa podmiotu (SAN) jest skonfigurowana dla adresu e-mail, ale docelowy użytkownik nie ma jeszcze prawidłowego adresu e-mail.The Subject Alternative Name (SAN) is configured for email address, but the targeted user doesn't have a valid email address yet. Ta kombinacja powoduje, że nazwa SAN ma wartość null, co jest nieprawidłowe.This combination results in a null value for the SAN, which is invalid.

Rozwiązanie :Resolution :

Sprawdź następujące elementy konfiguracji profilu PKCS, a następnie poczekaj na odświeżenie zasad na urządzeniu:Verify the following configurations for the PKCS profile, and then wait for the policy to refresh on the device:

  • Skonfigurowano z nazwą urzędu certyfikacjiConfigured with the name of the CA
  • Przypisano do prawidłowej grupy użytkownikówAssigned to the correct user group
  • Użytkownicy w grupie mają prawidłowe adresy e-mailUsers in the group have valid email addresses

Aby uzyskać więcej informacji, zobacz artykuł Konfigurowanie certyfikatów PKCS i korzystanie z nich za pomocą usługi Intune.For more information, see Configure and use PKCS certificates with Intune.

Odmowa przez moduł zasadDenied by Policy Module

Gdy urządzenia odbierają zaufany certyfikat główny, ale nie otrzymują certyfikatu PFX, a dziennik NDESConnector_date_time.svclog zawiera ciąg The submission failed: Denied by Policy Module (Przesyłanie nie powiodło się: odmowa przez moduł zasad), jak pokazano w następującym przykładzie:When devices receive the trusted root certificate but don’t receive the PFX certificate and the NDESConnector_date_time.svclog log contains the string The submission failed: Denied by Policy Module , as seen in the following example:

IssuePfx - The submission failed: Denied by Policy Module
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission failed
   at Microsoft.Management.Services.NdesConnector.MicrosoftCA.GetCertificate(PfxRequestDataStorage pfxRequestData, String containerName, String& certificate, String& password)
Issuing Pfx certificate for Device ID <Device ID> failed  

Przyczyna — uprawnienia konta komputera do szablonu certyfikatuCause – Computer Account permissions to the certificate template

Ten problem występuje, gdy konto komputera serwera, który jest hostem Łącznika certyfikatów usługi Intune, nie ma uprawnień do szablonu certyfikatu.This issue occurs when the Computer Account of the server that hosts the Intune Certificate Connector doesn't have permissions to the certificate template.

Rozwiązanie :Resolution :

  1. Zaloguj się do swojego urzędu certyfikacji przedsiębiorstwa za pomocą konta z uprawnieniami administracyjnymi.Sign in to your Enterprise CA with an account that has administrative privileges.
  2. Otwórz konsolę Urząd certyfikacji , kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów i wybierz polecenie Zarządzaj.Open the Certification Authority console, right-click Certificate Templates, and select Manage.
  3. Znajdź szablon certyfikatu i otwórz okno dialogowe Właściwości szablonu.Find the certificate template and open the Properties dialog box of the template.
  4. Wybierz kartę Zabezpieczenia i dodaj konto komputera dla serwera, na którym instalowany jest łącznik certyfikatów usługi Microsoft Intune.Select the Security tab and add the Computer Account for the server where you installed the Microsoft Intune Certificate Connector. Udziel uprawnień Odczyt i Rejestracja dla tego konta.Grant that account Read and Enroll permissions.
  5. Wybierz polecenie Zastosuj > OK , aby zapisać szablon certyfikatu, a następnie zamknij konsolę Szablony certyfikatów.Select Apply > OK to save the certificate template, and then close the Certificate Templates console.
  6. W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów > Nowy > Szablon certyfikatu do wystawienia.In the Certification Authority console, right-click Certificate Templates > New > Certificate Template to Issue.
  7. Wybierz zmodyfikowany szablon, a następnie kliknij przycisk OK.Select the template that you modified, and then click OK.

Aby uzyskać więcej informacji, zobacz temat Konfigurowanie szablonów certyfikatów w urzędzie certyfikacji.For more information, see Configure certificate templates on the CA.

Profil certyfikatu został zablokowany jako oczekującyCertificate profile stuck as Pending

W centrum administracyjnym programu Microsoft Endpoint Manager nie można wdrożyć profilów certyfikatów PKCS w stanie Oczekujące.In the Microsoft Endpoint Manager admin center, PKCS certificate profiles fail to deploy with a state of Pending. Brak oczywistych błędów w pliku dziennika NDESConnector_date_time.svclog.There are no obvious errors in the NDESConnector_date_time.svclog log file. Ponieważ przyczyny tego problemu nie można wyraźnie zidentyfikować w dziennikach, należy sprawdzić następujące przyczyny.Because the cause of this problem isn’t identified clearly in logs, work through the following causes.

Przyczyna 1 — nieprzetworzone pliki żądańCause 1 - Unprocessed request files

Przejrzyj pliki żądań pod kątem błędów wskazujących, dlaczego przetwarzanie nie powiodło się.Review the request files for errors that indicate why they failed to be processed.

  1. Na serwerze, który hostuje łącznik certyfikatów usługi Intune, w Eksploratorze plików przejdź do folderu %programfiles%\Microsoft Intune\PfxRequest.On the server that hosts the Intune Certificate Connector, use File Explorer to navigate to %programfiles%\Microsoft Intune\PfxRequest.

  2. Przejrzyj pliki w folderach Failed (Niepowodzenie) i Processing (Przetwarzanie) przy użyciu ulubionego edytora tekstu.Review files in the Failed and Processing folders, using your favorite text editor.

    Przeglądanie folderu PfxRequestReview the PfxRequest folder

  3. W tych plikach poszukaj wpisów, które wskazują błędy lub sugerują problemy.In these files, look for entries that indicate errors or suggest problems. Korzystając z wyszukiwania w sieci Web, sprawdź komunikaty o błędach w celu uzyskania wskazówek dotyczących przyczyn niepowodzenia przetwarzania żądania oraz rozwiązań tych problemów.Using a web-based search, look up the error messages for clues as to why the request failed to process, and for solutions to those issues.

Przyczyna 2 — niewłaściwa konfiguracja profilu certyfikatu PKCSCause 2 - Misconfiguration for the PKCS certificate profile

Jeśli nie znajdziesz plików żądań w folderach Failed (Niepowodzenie), Processing (Przetwarzanie) ani Succeed (Powodzenie), przyczyną może być niewłaściwy certyfikat skojarzony z profilem certyfikatu PKCS.When you don’t find request files in the Failed , Processing , or Succeed folders, the cause might be that the wrong certificate is associated with the PKCS certificate profile. Na przykład podrzędny urząd certyfikacji jest skojarzony z profilem lub jest używany niewłaściwy certyfikat główny.For example, a subordinate CA is associated with the profile, or the wrong root certificate is used.

Rozwiązanie :Resolution :

  1. Przejrzyj profil zaufanego certyfikatu i upewnij się, że certyfikat główny został wdrożony z urzędu certyfikacji przedsiębiorstwa do urządzeń.Review your trusted certificate profile to ensure you’ve deployed the root certificate from your Enterprise CA to devices.
  2. Przejrzyj profil certyfikatu PKCS i upewnij się, że odwołuje się do prawidłowego urzędu certyfikacji, typu certyfikatu i profilu zaufanego certyfikatu, który wdraża certyfikat główny na urządzeniach.Review your PKCS certificate profile to ensure it references the correct CA, certificate type, and the trusted certificate profile that deploys the root certificate to devices.

Aby uzyskać więcej informacji, zobacz artykuł Używanie certyfikatów do uwierzytelniania w usłudze Microsoft Intune.For more information, see Use certificates for authentication in Microsoft Intune.

Błąd -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIREDError -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

Wdrożenie certyfikatów PKCS nie powiodło się, a konsola certyfikatów w urzędzie CA wystawiającym certyfikaty wyświetla komunikat z ciągiem -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED , jak pokazano w następującym przykładzie:PKCS certificates fail to deploy, and the certificate console on the issuing CA displays a message with the string -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED , as seen in the following example:

Active Directory Certificate Services denied request abc123 because The Email name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). The request was for CN=” Common Name”.  Additional information: Denied by Policy Module”.

Przyczyna — opcja „Dostarcz w żądaniu” jest źle skonfigurowanaCause - "Supply in the request" is miscongifured

Ten problem występuje, gdy opcja Dostarcz w żądaniu nie jest włączona na karcie Nazwa podmiotu w oknie dialogowym Właściwości szablonu certyfikatu.This issue occurs if the Supply in the request option isn't enabled on the Subject Name tab in the certificate template Properties dialog box.

Konfigurowanie właściwości NDESConfigure the NDES properties

Rozwiązanie :Resolution :

Edytuj szablon, aby rozwiązać problem z konfiguracją:Edit the template to resolve the configuration issue:

  1. Zaloguj się do swojego urzędu certyfikacji przedsiębiorstwa za pomocą konta z uprawnieniami administracyjnymi.Sign in to your Enterprise CA with an account that has administrative privileges.
  2. Otwórz konsolę Urząd certyfikacji , kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów i wybierz pozycje Zarządzaj.Open the Certification Authority console, right-click Certificate Templates , and select Manage.
  3. Otwórz okno dialogowe Właściwości szablonu certyfikatu.Open the Properties dialog box of the certificate template.
  4. Na karcie Nazwa podmiotu zaznacz opcję Dostarcz w żądaniu.On the Subject Name tab, select Supply in the request.
  5. Kliknij przycisk OK , aby zapisać szablon certyfikatu, a następnie zamknij konsolę Szablony certyfikatów.Select OK to save the certificate template, and then close the Certificate Templates console.
  6. W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony > Nowy > Szablon certyfikatu do wystawienia.In the Certification Authority console, and right-click Templates > New > Certificate Template to Issue.
  7. Wybierz zmodyfikowany szablon, a następnie kliknij przycisk OK.Select the template that you modified, and then select OK.

Następne krokiNext steps

Jeśli nadal potrzebujesz rozwiązania lub szukasz dodatkowych informacji na temat usługi Intune, opublikuj pytanie na forum usługi Microsoft Intune.If you still need a solution or you’re looking for more information about Intune, post a question in our Microsoft Intune forum. Wielu inżynierów pomocy technicznej, najlepszych specjalistów (MVP) i członków naszego zespołu deweloperów często przegląda fora, więc masz dużą szansę uzyskania od kogoś pomocy.Many support engineers, MVPs, and members of our development team frequent the forums, so there’s a good chance that someone can help.

Aby przesłać wniosek o pomoc techniczną do zespołu pomocy technicznej usługi Microsoft Intune, zobacz Jak uzyskać pomoc techniczną w programie Microsoft Endpoint Manager.To open a support request with the Microsoft Intune product support team, see How to get support in Microsoft Endpoint Manager. Aby uzyskać więcej informacji o wdrażaniu certyfikatu PKCS, zobacz następujące artykuły:For more information about PKCS certificate deployment, see the following articles: