Solução de problemas de implantação de certificado PKCS no Intune

  • Artigo
  • 12 minutos para ler

Este artigo fornece diretrizes de solução de problemas para vários problemas comuns ao implantar certificados PKCS (Public Key Cryptography Standards) no Microsoft Intune. Antes de solucionar problemas, verifique se você concluiu as seguintes tarefas, conforme explicado em Configurar e usar certificados PKCS com Intune:

  • Examine os requisitos para usar perfis de certificado PKCS.
  • Exporte o certificado raiz da AC (Autoridade de Certificação) Corporativa.
  • Configure modelos de certificado na autoridade de certificação.
  • Instale e configure o conector Intune certificado.
  • Crie e implante um perfil de certificado confiável para implantar o certificado raiz.
  • Criar e implantar um perfil de certificado PKCS.

A fonte mais comum de problemas para perfis de certificado PKCS foi com a configuração do perfil de certificado PKCS. Examine a configuração de perfis e procure erros de digitação em nomes de servidor ou FQDNs (nomes de domínio totalmente qualificados) e confirme se a Autoridade de Certificação e o Nome da Autoridade de Certificação estão corretos.

  • Autoridade de Certificação: o FQDN interno do computador da Autoridade de Certificação. Por exemplo, server1.domain.local.
  • Nome da autoridade de certificação: o nome da autoridade de certificação, conforme exibido no MMC da autoridade de certificação. Procurar em Autoridade de Certificação (Local)

Você pode usar o programa de linha de comando certutil na AC para confirmar o nome correto para a Autoridade de Certificação e o Nome da Autoridade de Certificação.

Visão geral da comunicação PKCS

O gráfico a seguir fornece uma visão geral básica do processo de implantação de certificado PKCS Intune.

Captura de tela do fluxo de perfil de certificado PKCS.

  1. Um Administração cria um perfil de certificado PKCS Intune.
  2. O Intune solicita que o Intune De certificado local crie um novo certificado para o usuário.
  3. O Intune de certificados envia um Blob PFX e uma solicitação para sua Autoridade de Certificação da Microsoft.
  4. A Autoridade de Certificação emite e envia o Certificado de Usuário PFX de volta para o Intune Certificate Connector.
  5. O Intune De certificado carrega o Certificado de Usuário PFX criptografado para Intune.
  6. Intune descriptografa o Certificado de Usuário PFX e criptografa novamente para o dispositivo usando o Gerenciamento de Dispositivos Certificado. Intune envia o Certificado de Usuário PFX para o Dispositivo.
  7. O dispositivo relata o status do certificado para Intune.

Arquivos de log

Para identificar problemas para o fluxo de trabalho de provisionamento de certificado e comunicação, examine os arquivos de log da infraestrutura do servidor e dos dispositivos. Seções posteriores para solucionar problemas de perfis de certificado PKCS referem-se aos arquivos de log referenciados nesta seção.

Os logs do dispositivo dependem da plataforma do dispositivo:

Logs para infraestrutura local

A infraestrutura local que dá suporte ao uso de perfis de certificado PKCS para implantações de certificado inclui o Microsoft Intune Certificate Connector e a autoridade de certificação.

Os arquivos de log para essas funções incluem o Windows Visualizador de Eventos, consoles de certificado e vários arquivos de log específicos do conector de certificado do Intune ou outras funções e operações que fazem parte da infraestrutura local.

  • NDESConnector_date_time.svclog:

    Esse log mostra a comunicação do Microsoft Intune Certificate Connector com o serviço Intune nuvem. Você pode usar a Ferramenta visualizador de rastreamento de serviço para exibir esse arquivo de log.

    Chave do Registro relacionada: HKLM\SW\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

    Local: no servidor que hospeda o Intune Certificate Connector em %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs

  • Log de aplicativos do Windows:

    Local: no servidor que hospeda o Intune Certificate Connector: execute eventvwr.msc para abrir o Windows Visualizador de Eventos

Logs para dispositivos Android

Para dispositivos que executam o Android, use o arquivo de log Portal da Empresa aplicativo android, OMADM.log. Antes de coletar e examinar os logs, habilite a habilitação do Log Detalhado e reproduza o problema.

Para coletar o OMADM.logs de um dispositivo, consulte Carregar e enviar logs de email usando um cabo USB.

Você também pode carregar e enviar logs de email para dar suporte.

Logs para dispositivos iOS e iPadOS

Para dispositivos que executam iOS/iPadOS, use logs de depuração e Xcode executados em um computador Mac:

  1. Conecte o dispositivo iOS/iPadOS ao Mac e vá > para Utilitários de Aplicativos para abrir o aplicativo de Console.

  2. Em Ação, selecione Incluir Mensagens de Informações e Incluir Mensagens de Depuração.

    A captura de tela mostra que as opções Incluir Mensagens de Informações e Incluir Mensagens de Depuração estão selecionadas.

  3. Reproduza o problema e salve os logs em um arquivo de texto:

    1. Selecione Editar > Selecionar Tudo para selecionar todas as mensagens na tela atual e, em seguida, selecione Editar > Cópia para copiar as mensagens para a área de transferência.
    2. Abra o aplicativo TextEdit, cole os logs copiados em um novo arquivo de texto e salve o arquivo.

O Portal da Empresa para dispositivos iOS e iPadOS não contém informações sobre perfis de certificado PKCS.

Logs para dispositivos Windows

Para dispositivos que executam o Windows, use os logs de eventos do Windows para diagnosticar problemas de registro ou gerenciamento de dispositivos para dispositivos gerenciados com Intune.

No dispositivo, abra Visualizador de Eventos Aplicações > e Logs > de Serviços Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider

Captura de tela dos logs de eventos do Windows.

Exclusões de antivírus

Considere adicionar exclusões de antivírus em servidores que hospedam o Intune de Certificados quando:

  • As solicitações de certificado chegam ao servidor ou ao Intune de Certificados, mas não são processadas com êxito
  • Os certificados são emitidos lentamente

A seguir estão exemplos de locais que você pode excluir:

  • %program_files% \Microsoft Intune\PfxRequest
  • %program_files% \Microsoft Intune\CertificateRequestStatus
  • %program_files% \Microsoft Intune\CertificateRevocationStatus

Erros comuns

Os seguintes erros comuns são abordados em uma seção a seguir:

O servidor RPC não está disponível 0x800706ba

Durante a implantação do PFX, o certificado raiz confiável aparece no dispositivo, mas o certificado PFX não aparece no dispositivo. O NDESConnector_date_time.svclog contém a cadeia de caracteres O servidor RPC não está disponível. 0x800706ba, como visto na primeira linha do exemplo a seguir:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x800706BA): CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
IssuePfx -Generic Exception: System.ArgumentException: CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094800): The requested certificate template is not supported by this CA. (Exception from HRESULT: 0x80094800)

Causa 1 – Configuração incorreta da AC no Intune

Esse problema pode ocorrer quando o perfil de certificado PKCS especifica o servidor errado ou contém erros de ortografia para o nome ou FQDN da AC. A AC é especificada nas seguintes propriedades do perfil:

  • Autoridade de certificação
  • Nome da autoridade de certificação

Solução:

Examine as seguintes configurações e corrija se elas estiverem incorretas:

  • A propriedade de autoridade de certificação exibe o FQDN interno do servidor de AC.
  • A propriedade de nome da autoridade de certificação exibe o nome da ac.

Causa 2 - A AC não dá suporte à renovação de certificado para solicitações assinadas por certificados de AUTORIDADE de Certificação anteriores

Se o FQDN e o nome da AC estão corretos no perfil de certificado PKCS, examine o log de aplicativos do Windows que está no servidor de autoridade de certificação. Procure uma ID de evento 128 semelhante ao exemplo a seguir:

Log Name: Application:
Source: Microsoft-Windows-CertificationAuthority
Event ID: 128
Level: Warning
Details:
An Authority Key Identifier was passed as part of the certificate request 2268. This feature has not been enabled. To enable specifying a CA key for certificate signing, run: "certutil -setreg ca\UseDefinedCACertInRequest 1" and then restart the service.

Quando o certificado de AUTORIDADE de Certificação é renovado, ele deve assinar o certificado de Assinatura de Resposta do Protocolo de Status de Certificado Online (OCSP). A assinatura permite que o certificado de Assinatura de Resposta do OCSP valide outros certificados verificando seu status de revogação. Essa assinatura não está habilitada por padrão.

Solução:

Force manualmente a assinatura do certificado:

  1. No servidor de AC, abra um Prompt de Comando com privilégios elevados e execute o seguinte comando: certutil -setreg ca\UseDefinedCACertInRequest 1
  2. Reinicie o serviço de Serviços de Certificados.

Depois que o serviço de Serviços de Certificados for reiniciado, os dispositivos poderão receber certificados.

Não é possível localizar um servidor de política de registro 0x80094015

Um servidor de política de registro não pode ser 0x80094015, conforme visto no exemplo a seguir:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094015): An enrollment policy server cannot be located. (Exception from HRESULT: 0x80094015)

Causa – Nome do servidor da política de registro de certificado

Esse problema ocorrerá se o computador que hospeda o Intune Certificate Connector não puder localizar um servidor de política de registro de certificado.

Solução:

Configure manualmente o nome do servidor de política de registro de certificado no computador que hospeda o Intune Certificate Connector. Para configurar o nome, use o cmdlet Add-CertificateEnrollmentPolicyServer do PowerShell.

O envio está pendente

Depois de implantar um perfil de certificado PKCS em dispositivos móveis, os certificados não são adquiridos e o log NDESConnector_date_time.svclog contém a cadeia de caracteres O envio está pendente, conforme visto no exemplo a seguir:

IssuePfx - The submission is pending: Taken Under Submission
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission is pending

Além disso, no servidor de autoridade de certificação, você pode ver a solicitação PFX na pasta Solicitações Pendentes :

Captura de tela da pasta solicitações pendentes da Autoridade de Certificação.

Causa – Configuração incorreta para tratamento de solicitações

Esse problema ocorrerá se a opção Definir o status da solicitação como pendente. O administrador deve emitir explicitamente se o certificado está selecionado na caixa > > de diálogo Propriedades do Módulo da Política de Propriedades da autoridade de certificação.

Captura de tela das propriedades do Módulo de Política.

Solução:

Edite as propriedades do Módulo de Política a serem definidas: siga as configurações no modelo de certificado, se aplicável. Caso contrário, emita automaticamente o certificado.

O parâmetro está incorreto 0x80070057

Com o conector de certificado do Intune instalado e configurado com êxito, os dispositivos não recebem certificados PKCS e o log NDESConnector_date_time.svclog contém a cadeia de caracteres O parâmetro está incorreto. 0x80070057, como visto no exemplo a seguir:

CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

Causa – Configuração do perfil PKCS

Esse problema ocorrerá se o perfil PKCS no Intune estiver configurado incorretamente. A seguir estão configurações incorretas comuns:

  • O perfil inclui um nome incorreto para a AC.
  • O SAN (Nome Alternativo da Entidade) está configurado para o endereço de email, mas o usuário de destino ainda não tem um endereço de email válido. Essa combinação resulta em um valor nulo para a SAN, que é inválida.

Solução:

Verifique as seguintes configurações para o perfil PKCS e aguarde até que a política seja atualizada no dispositivo:

  • Configurado com o nome da AC
  • Atribuído ao grupo de usuários correto
  • Os usuários no grupo têm endereços de email válidos

Para obter mais informações, consulte Configurar e usar certificados PKCS com Intune.

Negado pelo Módulo de Política

Quando os dispositivos recebem o certificado raiz confiável, mas não recebem o certificado PFX e o log NDESConnector_date_time.svclog contém a cadeia de caracteres O envio falhou : Negado pelo Módulo de Política, conforme visto no exemplo a seguir:

IssuePfx - The submission failed: Denied by Policy Module
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission failed
   at Microsoft.Management.Services.NdesConnector.MicrosoftCA.GetCertificate(PfxRequestDataStorage pfxRequestData, String containerName, String& certificate, String& password)
Issuing Pfx certificate for Device ID <Device ID> failed

Causa – Permissões de conta de computador para o modelo de certificado

Esse problema ocorre quando a Conta de Computador do servidor que hospeda o Intune Certificate Connector não tem permissões para o modelo de certificado.

Solução:

  1. Entre na sua AC corporativa com uma conta que tenha privilégios administrativos.
  2. Abra o console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado e selecione Gerenciar.
  3. Localize o modelo de certificado e abra a caixa de diálogo Propriedades do modelo.
  4. Selecione a guia Segurança e adicione a Conta de Computador para o servidor em que você instalou o Microsoft Intune Certificate Connector. Conceda a essa conta permissões de Leitura e Registro.
  5. Selecione Aplicar > OK para salvar o modelo de certificado e feche o console de Modelos de Certificado.
  6. No console da Autoridade de Certificação, clique com o botão direito em Modelos de Certificados > Novo > Modelo de Certificado a ser Emitido.
  7. Selecione o modelo que você modificou e clique em OK.

Para obter mais informações, consulte Configurar modelos de certificado na AC.

Perfil de certificado paralisado como Pendente

No Centro de administração do Microsoft Endpoint Manager, os perfis de certificado PKCS não são implantados com um estado pendente. Não há erros óbvios no arquivo de log NDESConnector_date_time.svclog. Como a causa desse problema não é identificada claramente nos logs, trabalhe com as causas a seguir.

Causa 1 – Arquivos de solicitação não processados

Examine os arquivos de solicitação em caso de erros que indiquem por que eles não foram processados.

  1. No servidor que hospeda o Intune Certificate Connector, use Explorador de Arquivos para navegar até %programfiles%\Microsoft Intune\PfxRequest.

  2. Examine os arquivos nas pastas Com Falha e Processamento , usando seu editor de texto favorito.

    Captura de tela da pasta PfxRequest.

  3. Nesses arquivos, procure entradas que indiquem erros ou sugiram problemas. Usando uma pesquisa baseada na Web, procure as mensagens de erro em busca de pistas sobre por que a solicitação falhou ao processar e soluções para esses problemas.

Causa 2 – Configuração incorreta para o perfil de certificado PKCS

Quando você não encontra arquivos de solicitação nas pastas Com Falha, Processamento ou Êxito, a causa pode ser que o certificado errado esteja associado ao perfil de certificado PKCS. Por exemplo, uma AC subordinada está associada ao perfil ou o certificado raiz incorreto é usado.

Solução:

  1. Examine seu perfil de certificado confiável para garantir que você implantou o certificado raiz de sua AC Corporativa em dispositivos.
  2. Examine o perfil de certificado PKCS para garantir que ele faça referência à AC correta, ao tipo de certificado e ao perfil de certificado confiável que implanta o certificado raiz nos dispositivos.

Para obter mais informações, confira Usar certificados para autenticação no Microsoft Intune.

Erro -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

Os certificados PKCS não são implantados e o console de certificados na AC emissora exibe uma mensagem com a cadeia de caracteres -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED, conforme visto no exemplo a seguir:

Active Directory Certificate Services denied request abc123 because The Email name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). The request was for CN=" Common Name".  Additional information: Denied by Policy Module".

Causa - "Fornecimento na solicitação" está mal configurado

Esse problema ocorrerá se a opção Fornecer na solicitação não estiver habilitada na guia Nome da Entidade na caixa de diálogo Propriedades do modelo de certificado.

Captura de tela das propriedades do NDES em que a opção Fornecer na solicitação está realçada.

Solução:

Edite o modelo para resolver o problema de configuração:

  1. Entre na sua AC corporativa com uma conta que tenha privilégios administrativos.
  2. Abra o console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado e selecione Gerenciar.
  3. Abra a caixa de diálogo Propriedades do modelo de certificado.
  4. Na guia Nome da Entidade, selecione Fornecer na solicitação.
  5. Selecione OK para salvar o modelo de certificado e feche o console de Modelos de Certificado.
  6. No console da Autoridade de Certificação e clique com o botão direito do mouse em > Modelos novo > modelo de certificado a ser emitido.
  7. Selecione o modelo que você modificou e, em seguida, selecione OK.