Solucionar problemas de implantação de certificado PKCS Microsoft Intune

As informações neste artigo podem ajudá-lo a resolver vários problemas comuns ao implantar certificados PKCS (Public Key Cryptography Standards) no Microsoft Intune. Antes de solucionar problemas, verifique se você concluiu as seguintes tarefas, conforme encontrado em Configurar e usar certificados PKCS com o Intune:

  • Revisar os requisitos para usar perfis de certificado PKCS
  • Exportar o certificado raiz da autoridade de certificação Enterprise (CA)
  • Configurar modelos de certificado na autoridade de certificação
  • Instalar e configurar o Conector de Certificados do Intune
  • Criar e implantar um perfil de certificado confiável para implantar o certificado raiz
  • Criar e implantar um perfil de certificado PKCS

A fonte mais comum de problemas para perfis de certificado PKCS foi a configuração do perfil de certificado PKCS. Revise a configuração de perfis e procure erros de digitação em nomes de servidor ou FQDNs (nomes de domínio totalmente qualificados) e confirme se a Autoridade de Certificação e o Nome da Autoridade de Certificação estão corretos.

  • Autoridade de Certificação: O FQDN interno do computador de Autoridade de Certificação. Por exemplo, server1.domain.local.
  • Nome da Autoridade de Certificação : O Nome da Autoridade de Certificação conforme exibido na autoridade de certificação MMC. Procure em Autoridade de Certificação (Local)

Você pode usar o programa de linha de comando certutil na AC para confirmar o nome correto para a Autoridade de Certificação e o Nome da Autoridade de Certificação.

Visão geral da comunicação do PKCS

O gráfico a seguir fornece uma visão geral básica do processo de implantação de certificadoS PKCS no Intune.

Fluxo de perfil de certificado PKCS

  1. Um Administrador cria um perfil de certificado PKCS no Intune.
  2. O serviço do Intune solicita que o Conector de Certificados do Intune local crie um novo certificado para o usuário.
  3. O Conector de Certificado do Intune envia um Blob PFX e Uma Solicitação à Autoridade de Certificação da Microsoft.
  4. A Autoridade de Certificação emite e envia o Certificado de Usuário PFX de volta para o Conector de Certificados do Intune.
  5. O Conector de Certificado do Intune carrega o Certificado de Usuário PFX criptografado para o Intune.
  6. O Intune descriptografa o Certificado de Usuário PFX e criptografa o dispositivo usando o Certificado de Gerenciamento de Dispositivos. Em seguida, o Intune envia o Certificado de Usuário PFX para o Dispositivo.
  7. O dispositivo relata o status do certificado para o Intune.

Arquivos de dados e log

Para identificar problemas para o fluxo de trabalho de provisionamento de certificados e comunicação, revise os arquivos de log da infraestrutura do Servidor e dos dispositivos. Seções posteriores para solucionar problemas de perfis de certificado PKCS referem-se aos arquivos de log referenciados nesta seção.

Os logs de dispositivo dependem da plataforma do dispositivo:

Logs para infraestrutura local

A infraestrutura local que oferece suporte ao uso de perfis de certificado PKCS para implantações de certificados inclui o conector de certificados Microsoft Intune e a autoridade de certificação.

Os arquivos de log para essas funções incluem Windows Visualizador de Eventos, consoles de certificado e vários arquivos de log específicos do Conector de Certificados do Intune ou outras funções e operações que fazem parte da infraestrutura local.

  • NDESConnector_date_time.svclog:

    Este log mostra a comunicação do conector Microsoft Intune certificado para o serviço de nuvem do Intune. Você pode usar a Ferramenta do Visualizador de Rastreamento de Serviço para exibir esse arquivo de log.

    Chave do Registro relacionada: HKLM\SW\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

    Local: no servidor que hospeda o Conector de Certificados do Intune em %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs

  • Windows Log de aplicativos:

    Local: no servidor que hospeda o Conector de Certificado do Intune: Execute eventvwr.msc para abrir Windows Visualizador de Eventos

Logs para dispositivos Android

Para dispositivos que executem o Android, use o arquivo de log do aplicativo Android Portal da Empresa, OMADM.log. Antes de coletar e revisar logs, habilita-se a garantir que o Log Detalhado está habilitado e reproduza o problema.

Para coletar o OMADM.logs de um dispositivo, consulte Upload e logs de email usando um cabo USB.

Você também pode Upload e logs de email para dar suporte.

Logs para dispositivos iOS e iPadOS

Para dispositivos que executam iOS/iPadOS, você usa logs de depuração e Xcode executados em um computador Mac:

  1. Conexão o dispositivo iOS/iPadOS para Mac e, em seguida, vá para Utilitários de > Aplicativos para abrir o aplicativo console.

  2. Em Ação, selecione Incluir Mensagens de Informações e Incluir Mensagens de Depuração.

    Selecionar opções de log

  3. Reproduza o problema e salve os logs em um arquivo de texto:

    1. Selecione Editar Selecionar Todos para selecionar todas as mensagens na tela atual e selecione Editar Copiar para copiar as mensagens > para a área de > transferência.
    2. Abra o aplicativo TextEdit, colou os logs copiados em um novo arquivo de texto e salve o arquivo.

O Portal da Empresa log para dispositivos iOS e iPadOS não contém informações sobre perfis de certificado PKCS.

Logs para Windows dispositivos

Para dispositivos que Windows, use os logs de evento Windows para diagnosticar problemas de registro ou gerenciamento de dispositivos para dispositivos que você gerencia com o Intune.

No dispositivo, abra Aplicativos e Serviços do Visualizador de Eventos > Logs > da Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider

Windows de eventos

Exclusões de antivírus

Considere adicionar exclusões antivírus em servidores que hospedam o Conector de Certificados do Intune quando:

  • As solicitações de certificado chegam ao servidor ou ao Conector de Certificado do Intune, mas não são processadas com êxito
  • Certificados são emitidos lentamente

Veja a seguir exemplos de locais que você pode excluir:

  • %program_files% \Microsoft Intune\PfxRequest
  • %program_files% \Microsoft Intune\CertificateRequestStatus
  • %program_files% \Microsoft Intune\CertificateRevocationStatus

Erros comuns

Os seguintes erros comuns são abordados em uma seção a seguir:

O servidor RPC não está disponível 0x800706ba

Durante a implantação do PFX, o certificado raiz confiável aparece no dispositivo, mas o certificado PFX não aparece no dispositivo. O arquivo de log NDESConnector_date_time.svclog contém a cadeia de caracteres O servidor RPC está indisponível. 0x800706ba , como visto na primeira linha do exemplo a seguir:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x800706BA): CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
IssuePfx -Generic Exception: System.ArgumentException: CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094800): The requested certificate template is not supported by this CA. (Exception from HRESULT: 0x80094800)

Causa 1 - Configuração incorreta da CA no Intune

Esse problema pode ocorrer quando o perfil de certificado PKCS especifica o servidor errado ou contém erros ortográficos para o nome ou FQDN da CA. A CA é especificada nas seguintes propriedades do perfil:

  • Autoridade de certificação
  • Nome da autoridade de certificação

Resolução:

Revise as seguintes configurações e corrige se elas estão incorretas:

  • A propriedade Autoridade de Certificação exibe o FQDN interno do servidor ca.
  • A propriedade Nome da autoridade de certificação exibe o nome de sua AUTORIDADE.

Causa 2 - A CA não dá suporte à renovação de certificados para solicitações assinadas por certificados de AC anteriores

Se o FQDN e o nome da CA estão corretos no perfil de certificado PKCS, revise o log Windows Application que está no servidor de autoridade de certificação. Procure uma ID de Evento 128 que se pareça com o seguinte exemplo:

Log Name: Application:
Source: Microsoft-Windows-CertificationAuthority
Event ID: 128
Level: Warning
Details:
An Authority Key Identifier was passed as part of the certificate request 2268. This feature has not been enabled. To enable specifying a CA key for certificate signing, run: "certutil -setreg ca\UseDefinedCACertInRequest 1" and then restart the service.

Quando o certificado ca é renovado, ele deve assinar o certificado de Assinatura de Resposta do Protocolo de Status do Certificado Online (OCSP). A assinatura permite que o certificado de Assinatura de Resposta do OCSP valide outros certificados verificando seu status de revogação. Essa assinatura não está habilitada por padrão.

Resolução:

Forçar manualmente a assinatura do certificado:

  1. No servidor ca, abra um Prompt de Comando com elevação e execute o seguinte comando: certutil -setreg ca\UseDefinedCACertInRequest 1
  2. Reinicie o serviço de Serviços de Certificado.

Depois que o serviço de Serviços de Certificado é reiniciado, os dispositivos podem receber certificados.

Um servidor de política de registro não pode ser localizado 0x80094015

Um servidor de política de registro não pode ser localizado e 0x80094015, conforme visto no exemplo a seguir:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094015): An enrollment policy server cannot be located. (Exception from HRESULT: 0x80094015)

Causa - Nome do servidor de política de registro de certificado

Esse problema ocorrerá se o computador que hospeda o Conector de Certificados do Intune não conseguir localizar um servidor de política de registro de certificado.

Resolução:

Configure manualmente o nome do servidor de política de registro de certificado no computador que hospeda o Conector de Certificados do Intune. Para configurar o nome, use o cmdlet Add-CertificateEnrollmentPolicyServer PowerShell.

O envio está pendente

Depois de implantar um perfil de certificado PKCS em dispositivos móveis, os certificados não são adquiridos e o log NDESConnector_date_time.svclog contém a cadeia de caracteres O envio está pendente , conforme visto no exemplo a seguir:

IssuePfx - The submission is pending: Taken Under Submission
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission is pending

Além disso, no servidor de autoridade de certificado, você pode ver a solicitação PFX na pasta Solicitações Pendentes:

Captura de tela da pasta Solicitações pendentes da Autoridade de Certificação

Causa - Configuração incorreta para tratamento de solicitações

Esse problema ocorrerá se a opção Definir o status da solicitação como pendente. O administrador deve emitir explicitamente que o certificado está selecionado na caixa de diálogo Propriedades do Módulo de Política de Propriedades da Autoridade de > > Certificação.

Captura de tela das propriedades do Módulo de Política

Resolução:

Edite as propriedades do Módulo de Política para definir: Siga as configurações no modelo de certificado, se aplicável. Caso contrário, emito automaticamente o certificado.

O parâmetro está incorreto 0x80070057

Com o Conector de Certificado do Intune instalado e configurado com êxito, os dispositivos não recebem certificados PKCS e o log NDESConnector_date_time.svclog contém a cadeia de caracteres O parâmetro está incorreto. 0x80070057, conforme visto no exemplo a seguir:

CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

Causa - Configuração do perfil PKCS

Esse problema ocorrerá se o perfil PKCS no Intune estiver configurado de forma inconfigurada. Veja a seguir as configurações misconfigurations comuns:

  • O perfil inclui um nome incorreto para a AC.
  • O Nome Alternativo do Assunto (SAN) está configurado para endereço de email, mas o usuário direcionado ainda não tem um endereço de email válido. Essa combinação resulta em um valor nulo para SAN, que é inválido.

Resolução:

Verifique as seguintes configurações para o perfil PKCS e aguarde a atualização da política no dispositivo:

  • Configurado com o nome da CA
  • Atribuído ao grupo de usuários correto
  • Os usuários no grupo têm endereços de email válidos

Para obter mais informações, consulte Configure and use PKCS certificates with Intune.

Negado pelo Módulo de Política

Quando os dispositivos recebem o certificado raiz confiável, mas não recebem o certificado PFX e o log NDESConnector_date_time.svclog contém a cadeia de caracteres O envio falhou: Negado pelo Módulo de Política , conforme visto no exemplo a seguir:

IssuePfx - The submission failed: Denied by Policy Module
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission failed
   at Microsoft.Management.Services.NdesConnector.MicrosoftCA.GetCertificate(PfxRequestDataStorage pfxRequestData, String containerName, String& certificate, String& password)
Issuing Pfx certificate for Device ID <Device ID> failed  

Causa – Permissões de conta de computador para o modelo de certificado

Esse problema ocorre quando a Conta do Computador do servidor que hospeda o Conector de Certificados do Intune não tem permissões para o modelo de certificado.

Resolução:

  1. Entre em sua ca Enterprise com uma conta que tenha privilégios administrativos.
  2. Abra o console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado e selecione Gerenciar.
  3. Encontre o modelo de certificado e abra a caixa de diálogo Propriedades do modelo.
  4. Selecione a guia Segurança e adicione a Conta do Computador para o servidor em que você instalou o conector Microsoft Intune Certificado. Conceda permissões de leitura e registro a essa conta.
  5. Selecione Aplicar > OK para salvar o modelo de certificado e feche o console Modelos de Certificado.
  6. No console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado Novo > > Modelo de Certificado para Emitir.
  7. Selecione o modelo modificado e clique em OK.

Para obter mais informações, consulte Configure certificate templates on the CA.

Perfil de certificado travado como Pendente

No centro Microsoft Endpoint Manager de administração, os perfis de certificado PKCS não são implantados com um estado pendente. Não há erros óbvios no arquivo de log NDESConnector_date_time.svclog. Como a causa desse problema não é identificada claramente nos logs, trabalhe pelas seguintes causas.

Causa 1 - Arquivos de solicitação não processadas

Revise os arquivos de solicitação para ver se há erros que indicam por que eles falharam ao serem processados.

  1. No servidor que hospeda o Conector de Certificado do Intune, use o Explorador de Arquivos para navegar até %programfiles%\Microsoft Intune\PfxRequest.

  2. Revise arquivos nas pastas Falha e Processamento, usando seu editor de texto favorito.

    Revisar a pasta PfxRequest

  3. Nesses arquivos, procure entradas que indiquem erros ou sugiram problemas. Usando uma pesquisa baseada na Web, procure as mensagens de erro para saber por que a solicitação falhou ao processar e para soluções para esses problemas.

Causa 2 - Configuração inconfigurada para o perfil de certificado PKCS

Quando você não encontra arquivos de solicitação nas pastas Failed, Processing ou Succeed, a causa pode ser que o certificado errado está associado ao perfil de certificado PKCS. Por exemplo, uma AC subordinada está associada ao perfil ou o certificado raiz errado é usado.

Resolução:

  1. Revise seu perfil de certificado confiável para garantir que você implantou o certificado raiz da Enterprise CA para dispositivos.
  2. Revise seu perfil de certificado PKCS para garantir que ele referencia a CA correta, o tipo de certificado e o perfil de certificado confiável que implanta o certificado raiz em dispositivos.

Para obter mais informações, consulte Use certificates for authentication in Microsoft Intune.

Erro -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

Os certificados PKCS não são implantados, e o console de certificado na CA de emissão exibe uma mensagem com a cadeia de caracteres -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED, conforme visto no exemplo a seguir:

Active Directory Certificate Services denied request abc123 because The Email name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). The request was for CN=" Common Name".  Additional information: Denied by Policy Module".

Causa - "O fornecimento na solicitação" é malcongifurado

Esse problema ocorrerá se a opção Fornecer na solicitação não estiver habilitada na guia Nome do Assunto na caixa de diálogo Propriedades do modelo de certificado.

Configurar as propriedades do NDES

Resolução:

Edite o modelo para resolver o problema de configuração:

  1. Entre em sua ca Enterprise com uma conta que tenha privilégios administrativos.
  2. Abra o console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado e selecione Gerenciar.
  3. Abra a caixa de diálogo Propriedades do modelo de certificado.
  4. Na guia Nome do Assunto, selecione Fornecer na solicitação.
  5. Selecione OK para salvar o modelo de certificado e feche o console Modelos de Certificado.
  6. No console da Autoridade de Certificação e clique com o botão direito do mouse em Modelos > Novo Modelo de Certificado para > Emitir.
  7. Selecione o modelo modificado e selecione OK.

Próximas etapas

Se você ainda precisar de uma solução ou estiver procurando mais informações sobre o Intune, poste uma pergunta em nosso fórum Microsoft Intune. Muitos engenheiros de suporte, MVPs e membros da nossa equipe de desenvolvimento frequentam os fóruns, portanto, há uma boa chance de que alguém possa ajudar.

Para abrir uma solicitação de suporte com Microsoft Intune equipe de suporte ao produto, consulte Como obter suporte em Microsoft Endpoint Manager.

Para obter mais informações sobre a implantação de certificadoS PKCS, consulte os seguintes artigos: