Compartilhar via

Solução de problemas de implantação de certificado PKCS no Intune

  • Artigo

Este artigo fornece diretrizes de solução de problemas para vários problemas comuns ao implantar certificados PKCS (Padrões de Criptografia de Chave Pública) no Microsoft Intune. Antes de solucionar problemas, verifique se você concluiu as seguintes tarefas, conforme explicado em Configurar e usar certificados PKCS com Intune:

  • Revise os requisitos para usar perfis de certificado PKCS.
  • Exporte o certificado raiz da Autoridade de Certificação (CA) Enterprise.
  • Configure modelos de certificado na autoridade de certificação.
  • Instale e configure o Intune Certificate Connector.
  • Crie e implante um perfil de certificado confiável para implantar o certificado raiz.
  • Crie e implante um perfil de certificado PKCS.

A fonte mais comum de problemas para perfis de certificado PKCS tem sido com a configuração do perfil de certificado PKCS. Revise a configuração dos perfis e procure erros de digitação em nomes de servidor ou nomes de domínio totalmente qualificados (FQDNs) e confirme se a Autoridade de Certificação e o Nome da Autoridade de Certificação estão corretos.

  • Autoridade de Certificação: o FQDN interno do computador da Autoridade de Certificação. Por exemplo, server1.domain.local.
  • Nome da Autoridade de Certificação: o Nome da Autoridade de Certificação, conforme exibido no MMC da autoridade de certificação. Procure em Autoridade de Certificação (Local)

Você pode usar o programa de linha de comando certutil na autoridade de certificação para confirmar o nome correto da autoridade de certificação e do nome da autoridade de certificação.

Visão geral da comunicação PKCS

O gráfico a seguir fornece uma visão geral básica do processo de implantação de certificado PKCS no Intune.

Captura de tela do fluxo de perfil de certificado PKCS.

  1. Um administrador cria um perfil de certificado PKCS no Intune.
  2. O serviço Intune solicita que o Intune local
  3. O Intune Certificate Connector envia um PFX Blob e uma Solicitação para sua Autoridade de Certificação da Microsoft.
  4. A Autoridade de Certificação emite e envia o Certificado de Usuário PFX de volta para o Intune Certificate Connector.
  5. O Intune Certificate Connector carrega o PFX criptografado
  6. O Intune descriptografa o Certificado de Usuário PFX e criptografa novamente o dispositivo usando o Certificado de Gerenciamento de Dispositivos. Em seguida, o Intune envia o Certificado de Usuário PFX para o Dispositivo.
  7. O dispositivo relata o status do certificado ao Intune.

Arquivos de log

Para identificar problemas no fluxo de trabalho de comunicação e provisionamento de certificados, examine os arquivos de log da infraestrutura do servidor e dos dispositivos. As seções posteriores para solucionar problemas de perfis de certificado PKCS referem-se aos arquivos de log mencionados nesta seção.

Os logs do dispositivo dependem da plataforma do dispositivo:

Logs para infraestrutura local

A infraestrutura local que dá suporte ao uso de perfis de certificado PKCS para implantações de certificado inclui o Microsoft Intune Certificate Connector e a autoridade de certificação.

Os arquivos de log para essas funções incluem o Visualizador de Eventos do Windows, consoles de certificado e vários arquivos de log específicos do Intune Certificate Connector ou outras funções e operações que fazem parte da infraestrutura local.

  • NDESConnector_date_time.svclog:

    Esse log mostra a comunicação do Conector de Certificado do Microsoft Intune com o serviço de nuvem do Intune. Você pode usar a Ferramenta Visualizador de Rastreamento de Serviço para exibir esse arquivo de log.

    Chave de registro relacionada: HKLM\SW\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

    Local: no servidor que hospeda o Intune Certificate Connector em %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs

  • Log do aplicativo do Windows:

    Local: no servidor que hospeda o Intune Certificate Connector: execute eventvwr.msc para abrir o Visualizador de Eventos do Windows

Logs para dispositivos Android

Para dispositivos que executam o Android, use o arquivo de log do aplicativo Portal da Empresa do Android, OMADM.log. Antes de coletar e revisar os logs, habilite se o Log Detalhado está habilitado e reproduza o problema.

Para coletar os OMADM.logs de um dispositivo, consulte Carregar e enviar logs por email usando um cabo USB.

Você também pode fazer upload e enviar logs por e-mail para o suporte.

Registros para dispositivos iOS e iPadOS

Para dispositivos que executam iOS/iPadOS, você usa logs de depuração e Xcode que é executado em um computador Mac:

  1. Conecte o dispositivo iOS/iPadOS ao Mac e vá para Utilitários de Aplicativos>para abrir o aplicativo Console.

  2. Em Ação, selecione Incluir Mensagens Informativas e Incluir Mensagens de Depuração.

    A captura de tela mostra que as opções Incluir mensagens de informações e Incluir mensagens de depuração estão selecionadas.

  3. Reproduza o problema e salve os logs em um arquivo de texto:

    1. Selecione Editar>Selecionar Tudo para selecionar todas as mensagens na tela atual e, em seguida, selecione Editar>Cópia para copiar as mensagens para a área de transferência.
    2. Abra o aplicativo Editor de Texto, cole os logs copiados em um novo arquivo de texto e salve o arquivo.

O log do Portal da Empresa para dispositivos iOS e iPadOS não contém informações sobre perfis de certificado PKCS.

Logs para dispositivos Windows

Para dispositivos que executam o Windows, use os logs de eventos do Windows para diagnosticar problemas de registro ou gerenciamento de dispositivos para dispositivos que você gerencia com o Intune.

No dispositivo, abra Logs>de Aplicativos e Serviços do Visualizador de Eventos>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider

Captura de tela dos logs de eventos do Windows.

Exclusões de antivírus

Considere adicionar exclusões de antivírus em servidores que hospedam o Intune Certificate Connector quando:

  • As solicitações de certificado chegam ao servidor ou ao Intune Certificate Connector, mas não são processadas com êxito
  • Os certificados são emitidos lentamente

Veja a seguir exemplos de locais que você pode excluir:

  • %program_files%\Microsoft Intune\PfxRequest
  • %program_files%\Microsoft Intune\CertificateRequestStatus
  • %program_files%\Microsoft Intune\CertificateRevocationStatus

Erros comuns

Os seguintes erros comuns são abordados em uma seção a seguir:

O servidor RPC não está disponível 0x800706ba

Durante a implantação do PFX, o certificado raiz confiável aparece no dispositivo, mas o certificado PFX não aparece no dispositivo. O arquivo de log NDESConnector_date_time.svclog contém a cadeia de caracteres O servidor RPC não está disponível. 0x800706ba, como visto na primeira linha do exemplo a seguir:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x800706BA): CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
IssuePfx -Generic Exception: System.ArgumentException: CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094800): The requested certificate template is not supported by this CA. (Exception from HRESULT: 0x80094800)

Causa 1 – Configuração incorreta da AC no Intune

Esse problema pode ocorrer quando o perfil do certificado PKCS especifica o servidor errado ou contém erros de ortografia para o nome ou FQDN da CA. A CA é especificada nas seguintes propriedades do perfil:

  • Autoridade de certificação
  • Nome da autoridade de certificação

Solução:

Examine as seguintes configurações e corrija se elas estiverem incorretas:

  • A propriedade Autoridade de certificação exibe o FQDN interno do servidor de autoridade de certificação.
  • A propriedade Nome da autoridade de certificação exibe o nome da sua autoridade de certificação.

Causa 2 – A CA não dá suporte à renovação de certificado para solicitações assinadas por certificados de AC anteriores

Se o FQDN e o nome da autoridade de certificação estiverem corretos no perfil de certificado PKCS, examine o log do aplicativo Windows que está no servidor da autoridade de certificação. Procure uma ID de evento 128 semelhante ao exemplo a seguir:

Log Name: Application:
Source: Microsoft-Windows-CertificationAuthority
Event ID: 128
Level: Warning
Details:
An Authority Key Identifier was passed as part of the certificate request 2268. This feature has not been enabled. To enable specifying a CA key for certificate signing, run: "certutil -setreg ca\UseDefinedCACertInRequest 1" and then restart the service.

Quando o certificado CA é renovado, ele deve assinar o certificado de Autenticação de Resposta do Protocolo de Status de Certificado Online (OCSP). A assinatura permite que o certificado de Autenticação de Resposta OCSP valide outros certificados verificando seu status de revogação. Essa assinatura não está habilitada por padrão.

Solução:

Forçar manualmente a assinatura do certificado:

  1. No servidor CA, abra um prompt de comando com privilégios elevados e execute o seguinte comando: certutil -setreg ca\UseDefinedCACertInRequest 1
  2. Reinicie o serviço de Serviços de Certificados.

Após a reinicialização do serviço de Serviços de Certificados, os dispositivos podem receber certificados.

Um servidor de política de registro não pode ser localizado 0x80094015

Um servidor de política de registro não pode ser localizado e 0x80094015, conforme visto no exemplo a seguir:

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094015): An enrollment policy server cannot be located. (Exception from HRESULT: 0x80094015)

Causa - Nome do servidor de política de registro de certificado

Esse problema ocorrerá se o computador que hospeda o Intune Certificate Connector não puder localizar um servidor de política de registro de certificado.

Solução:

Configure manualmente o nome do servidor de política de registro de certificado no computador que hospeda o Intune Certificate Connector. Para configurar o nome, use o cmdlet Add-CertificateEnrollmentPolicyServer do PowerShell.

A submissão está pendente

Depois de implantar um perfil de certificado PKCS em dispositivos móveis, os certificados não são adquiridos e o log NDESConnector_date_time.svclog contém a cadeia de caracteres O envio está pendente, conforme visto no exemplo a seguir:

IssuePfx - The submission is pending: Taken Under Submission
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission is pending

Além disso, no servidor da autoridade de certificação, você pode ver a solicitação PFX na pasta Solicitações Pendentes :

Captura de tela da pasta de solicitações pendentes da Autoridade de Certificação.

Causa - Configuração incorreta para tratamento de solicitações

Esse problema ocorre se a opção Definir o status da solicitação como pendente. O administrador deve emitir explicitamente o certificado selecionado na caixa de diálogo Propriedades> do Módulo>de Diretiva da autoridade de certificação.

Captura de tela das propriedades do Módulo de Política.

Solução:

Edite as propriedades do Módulo de Política a serem definidas: Siga as configurações no modelo de certificado, se aplicável. Caso contrário, emita automaticamente o certificado.

O parâmetro está incorreto 0x80070057

Com o Intune Certificate Connector instalado e configurado com êxito, os dispositivos não recebem certificados PKCS e o log NDESConnector_date_time.svclog contém a cadeia de caracteres O parâmetro está incorreto. 0x80070057, conforme visto no exemplo a seguir:

CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

Causa - Configuração do perfil PKCS

Esse problema ocorrerá se o perfil PKCS no Intune estiver configurado incorretamente. Veja a seguir configurações incorretas comuns:

  • O perfil inclui um nome incorreto para a CA.
  • O SAN (Nome Alternativo da Entidade) está configurado para o endereço de email, mas o usuário de destino ainda não tem um endereço de email válido. Essa combinação resulta em um valor nulo para a SAN, que é inválido.

Solução:

Verifique as seguintes configurações para o perfil PKCS e aguarde a atualização da política no dispositivo:

  • Configurado com o nome da CA
  • Atribuído ao grupo de usuários correto
  • Os usuários do grupo têm endereços de e-mail válidos

Para obter mais informações, consulte Configurar e usar certificados PKCS com o Intune.

Negado pelo módulo de política

Quando os dispositivos recebem o certificado raiz confiável, mas não recebem o certificado PFX e o log NDESConnector_date_time.svclog contém a cadeia de caracteres O envio falhou: negado pelo módulo de política, conforme visto no exemplo a seguir:

IssuePfx - The submission failed: Denied by Policy Module
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission failed
   at Microsoft.Management.Services.NdesConnector.MicrosoftCA.GetCertificate(PfxRequestDataStorage pfxRequestData, String containerName, String& certificate, String& password)
Issuing Pfx certificate for Device ID <Device ID> failed

Causa – Permissões de Conta de Computador para o modelo de certificado

Esse problema ocorre quando a Conta de Computador do servidor que hospeda o Intune Certificate Connector não tem permissões para o modelo de certificado.

Solução:

  1. Entre na sua autoridade de certificação corporativa com uma conta que tenha privilégios administrativos.
  2. Abra o console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado e selecione Gerenciar.
  3. Localize o modelo de certificado e abra a caixa de diálogo Propriedades do modelo.
  4. Selecione a guia Segurança e adicione a Conta de Computador para o servidor em que você instalou o Microsoft Intune Certificate Connector. Conceda a essa conta permissões de Leitura e Inscrição .
  5. Selecione Aplicar>OK para salvar o modelo de certificado e feche o console Modelos de Certificado.
  6. No console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos>de Certificado Novo>Modelo de Certificado a Ser Emitido.
  7. Selecione o modelo que você modificou e clique em OK.

Para obter mais informações, consulte Configurar modelos de certificado na autoridade de certificação.

Perfil de certificado travado como Pendente

No centro de administração Microsoft Intune, os perfis de certificado PKCS não são implantados com um estado de Pendente. Não há erros óbvios no arquivo de log NDESConnector_date_time.svclog. Como a causa desse problema não é identificada claramente nos logs, trabalhe com as seguintes causas.

Causa 1 - Arquivos de solicitação não processados

Revise os arquivos de solicitação em busca de erros que indiquem por que eles não foram processados.

  1. No servidor que hospeda o Intune Certificate Connector, use o Explorador de Arquivos para navegar até %programfiles%\Microsoft Intune\PfxRequest.

  2. Revise os arquivos nas pastas Falha e Processamento , usando seu editor de texto favorito.

    Captura de tela da pasta PfxRequest.

  3. Nesses arquivos, procure entradas que indiquem erros ou sugiram problemas. Usando uma pesquisa baseada na Web, procure as mensagens de erro para obter pistas sobre o motivo pelo qual a solicitação não foi processada e para obter soluções para esses problemas.

Causa 2 - Configuração incorreta para o perfil de certificado PKCS

Quando você não encontra arquivos de solicitação nas pastas Failed, Processing ou Succeed , a causa pode ser que o certificado errado esteja associado ao perfil de certificado PKCS. Por exemplo, uma autoridade de certificação subordinada está associada ao perfil ou o certificado raiz errado é usado.

Solução:

  1. Revise seu perfil de certificado confiável para garantir que você implantou o certificado raiz da sua CA corporativa nos dispositivos.
  2. Examine o perfil de certificado PKCS para garantir que ele faça referência à CA correta, ao tipo de certificado e ao perfil de certificado confiável que implanta o certificado raiz nos dispositivos.

Para obter mais informações, consulte Usar certificados para autenticação no Microsoft Intune.

Erro -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

Os certificados PKCS não são implantados e o console de certificado na autoridade de certificação emissora exibe uma mensagem com a cadeia de caracteres -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED, como visto no exemplo a seguir:

Active Directory Certificate Services denied request abc123 because The Email name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). The request was for CN=" Common Name".  Additional information: Denied by Policy Module".

Causa - "Fornecimento na solicitação" está configurado incorretamente

Esse problema ocorrerá se a opção Fornecer na solicitação não estiver habilitada na guia Nome da Entidade na caixa de diálogo Propriedades do modelo de certificado.

Captura de tela das propriedades NDES em que a opção Fornecer na solicitação é realçada.

Solução:

Edite o modelo para resolver o problema de configuração:

  1. Entre na sua autoridade de certificação corporativa com uma conta que tenha privilégios administrativos.
  2. Abra o console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado e selecione Gerenciar.
  3. Abra a caixa de diálogo Propriedades do modelo de certificado.
  4. Na guia Nome da Entidade, selecione Fornecimento na solicitação.
  5. Selecione OK para salvar o modelo de certificado e feche o console Modelos de Certificado .
  6. No console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos>Novo>Modelo de Certificado a Ser Emitido.
  7. Selecione o modelo que você modificou e, em seguida, selecione OK.