針對 Intune 中的 PKCS 憑證部署進行疑難解答

本文提供在 Microsoft Intune 中部署公鑰加密標準 （PKCS） 憑證時數個常見問題的疑難解答指引。 進行疑難解答之前，請確定您已完成下列工作，如設定及搭配 Intune 使用 PKCS 憑證中所述：

• 檢閱 使用 PKCS 憑證配置檔的需求。
• 從企業證書頒發機構單位 （CA） 匯出跟證書。
• 在證書頒發機構單位上設定證書範本。
• 安裝及設定 Intune 憑證連接器。
• 建立並部署受信任的憑證配置檔，以部署跟證書。
• 建立及部署 PKCS 憑證配置檔。

PKCS 憑證配置檔最常見的問題來源是 PKCS 憑證配置檔的設定。 檢閱配置檔組態，並尋找伺服器名稱或完整功能變數名稱 （FQDN） 中的錯字，並確認 證書頒發機構單位 和 證書頒發機構單位名稱 正確。

• 證書頒發機構單位：證書頒發機構單位計算機的內部 FQDN。 例如，server1.domain.local。
• 證書頒發機構單位名稱：證書頒發機構單位 MMC 中顯示的證書頒發機構單位名稱。 在 [證書頒發機構單位] 下查看 [本機]

您可以使用 CA 上的 certutil 命令行程式 來確認證書頒發機構單位和證書頒發機構單位名稱的正確名稱。

PKCS 通訊概觀

下圖提供 Intune 中 PKCS 憑證部署程式的基本概觀。

1. 系統管理員會在 Intune 中建立 PKCS 憑證配置檔。
2. Intune 服務會要求內部部署 Intune 憑證連接器為使用者建立新的憑證。
3. Intune 憑證連接器會將 PFX Blob 和要求傳送至您的Microsoft證書頒發機構單位。
4. 證書頒發機構單位會發出併傳送 PFX 用戶憑證回到 Intune 憑證連接器。
5. Intune 憑證連接器會將加密的 PFX 用戶憑證上傳至 Intune。
6. Intune 會使用 裝置管理 憑證來解密 PFX 用戶憑證，並重新加密裝置。 Intune 接著會將 PFX 用戶憑證傳送至裝置。
7. 裝置會將憑證狀態回報給Intune。

記錄檔

若要識別通訊和憑證布建工作流程的問題，請檢閱伺服器基礎結構和裝置的記錄檔。 針對 PKCS 憑證配置檔進行疑難解答的後續章節，請參閱本節中所參考的記錄檔。

• 基礎結構和伺服器記錄

裝置記錄取決於裝置平臺：

• iOS 和 iPadOS
• Android
• Windows

內部部署基礎結構的記錄

支援使用 PKCS 憑證配置檔進行憑證部署的內部部署基礎結構包括 Microsoft Intune 憑證連接器和證書頒發機構單位。

這些角色的記錄檔包括 Windows 事件檢視器、憑證主控台，以及 Intune 憑證連接器專屬的各種記錄檔，或屬於內部部署基礎結構一部分的其他角色和作業。

• NDESConnector_date_time.svclog：

  此記錄會顯示從 Microsoft Intune 憑證連接器到 Intune 雲端服務的通訊。 您可以使用 服務追蹤檢視器工具來 檢視此記錄檔。

  相關登錄機碼： HKLM\SW\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

  位置：在裝載 位於 %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs 之 Intune 憑證連接器的伺服器上

• Windows 應用程式記錄檔：

  位置：在裝載 Intune 憑證連接器的伺服器上：執行 eventvwr.msc 以開啟 Windows 事件檢視器

Android 裝置的記錄

針對執行 Android 的裝置，請使用 Android 公司入口網站 應用程式記錄檔，OMADM.log。 收集並檢閱記錄之前，請先啟用 [ 詳細信息記錄 ]，然後重現問題。

若要從裝置收集 OMADM.logs，請參閱 使用 USB 纜線上傳和電子郵件記錄。

您也可以 上傳和電子郵件記錄 以支援。

iOS 和 iPadOS 裝置的記錄

針對執行 iOS/iPadOS 的裝置，您可以使用在 Mac 電腦上執行的偵錯記錄和 Xcode ：

1. 將 iOS/iPadOS 裝置連線到 Mac，然後移至 [應用程式>公用程式] 以開啟主控台應用程式。

2. 在 [動作] 底下，選取 [包含資訊訊息] 和 [包含偵錯訊息]。

   

3. 重現問題，然後將記錄儲存至文本檔：

   1. 選取 [ 編輯>全 選] 以選取目前畫面上的所有訊息，然後選取 [編輯>複製 ] 將訊息複製到剪貼簿。
   2. 開啟 TextEdit 應用程式，將複製的記錄貼到新的文字檔，然後儲存盤案。

iOS 和 iPadOS 裝置的 公司入口網站 記錄不包含 PKCS 憑證配置檔的相關信息。

Windows 裝置的記錄

針對執行 Windows 的裝置，請使用 Windows 事件記錄來診斷您使用 Intune 管理的裝置註冊或裝置管理問題。

在裝置上，開啟 windows DeviceManagement-Enterprise-Diagnostics-Provider Microsoft>>事件檢視器> Applications 和服務記錄>

防毒排除專案

請考慮在裝載 Intune 憑證連接器的伺服器上新增防病毒軟體排除專案：

• 憑證要求會連到伺服器或 Intune 憑證連接器，但未成功處理
• 憑證發行速度緩慢

以下是您可能會排除的位置範例：

• %program_files%\Microsoft Intune\PfxRequest
• %program_files%\Microsoft Intune\CertificateRequestStatus
• %program_files%\Microsoft Intune\CertificateRevocationStatus

常見錯誤

下列常見錯誤會在下列區段中解決：

• RPC 伺服器無法使用0x800706ba
• 無法找到註冊原則伺服器0x80094015
• 提交擱置中
• 參數0x80070057不正確
• 原則模組拒絕
• 憑證配置檔停滯為擱置中
• 錯誤 -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

RPC 伺服器無法使用0x800706ba

在 PFX 部署期間，受信任的跟證書會出現在裝置上，但 PFX 憑證不會出現在裝置上。 NDESConnector_date_time.svclog 記錄檔包含字串 RPC 伺服器無法使用。0x800706ba，如下列範例的第一行所示：

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x800706BA): CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
IssuePfx -Generic Exception: System.ArgumentException: CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094800): The requested certificate template is not supported by this CA. (Exception from HRESULT: 0x80094800)

原因 1 - Intune 中 CA 的設定不正確

當 PKCS 憑證設定檔指定錯誤的伺服器，或包含 CA 名稱或 FQDN 的拼字錯誤時，可能會發生此問題。 CA 是在設定檔的下列屬性中指定：

• 證書頒發機構單位
• 證書頒發機構單位名稱

解決方案：

檢閱下列設定，並修正它們是否不正確：

• 證書頒發機構 單位 屬性會顯示 CA 伺服器的內部 FQDN。
• 證書頒發機構 單位名稱 屬性會顯示 CA 的名稱。

原因 2 - CA 不支援舊版 CA 憑證所簽署要求的憑證更新

如果 PKCS 憑證設定檔中的 CA FQDN 和名稱正確，請檢閱證書頒發機構單位伺服器上的 Windows 應用程式記錄檔。 尋找 類似下列範例的事件標識碼 128 ：

Log Name: Application:
Source: Microsoft-Windows-CertificationAuthority
Event ID: 128
Level: Warning
Details:
An Authority Key Identifier was passed as part of the certificate request 2268. This feature has not been enabled. To enable specifying a CA key for certificate signing, run: "certutil -setreg ca\UseDefinedCACertInRequest 1" and then restart the service.

當 CA 憑證更新時，它必須簽署在線憑證狀態通訊協定 （OCSP） 回應簽署憑證。 簽署可讓 OCSP 回應簽署憑證藉由檢查其撤銷狀態來驗證其他憑證。 預設不會啟用此簽署。

解決方案：

手動強制簽署憑證：

1. 在 CA 伺服器上，開啟提升許可權的命令提示字元並執行下列命令： certutil -setreg ca\UseDefinedCACertInRequest 1
2. 重新啟動憑證服務服務。

憑證服務服務重新啟動之後，裝置可以接收憑證。

無法找到註冊原則伺服器0x80094015

註冊原則伺服器無法找到 並 0x80094015，如下列範例所示：

IssuePfx - COMException: System.Runtime.InteropServices.COMException (0x80094015): An enrollment policy server cannot be located. (Exception from HRESULT: 0x80094015)

原因 - 憑證註冊原則伺服器名稱

如果裝載 Intune 憑證連接器的電腦找不到憑證註冊原則伺服器，就會發生此問題。

解決方案：

在裝載 Intune 憑證連接器的電腦上，手動設定憑證註冊原則伺服器的名稱。 若要設定名稱，請使用 Add-CertificateEnrollmentPolicyServer PowerShell Cmdlet。

提交擱置中

將 PKCS 憑證配置檔部署到行動裝置之後，不會取得憑證，而 NDESConnector_date_time.svclog 記錄包含字串 提交擱置中，如下列範例所示：

IssuePfx - The submission is pending: Taken Under Submission
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission is pending

此外，在證書頒發機構單位伺服器上，您可以在 [擱置的要求] 資料夾中看到 PFX 要求：

原因 - 要求處理的設定不正確

如果 [將要求狀態設定為擱置] 選項，就會發生此問題。系統管理員必須在 [證書頒發機構單位屬性>原則模組>屬性] 對話框中明確發出憑證。

解決方案：

編輯要設定的原則模組屬性： 如果適用，請遵循證書範本中的設定。否則，會自動發行憑證。

參數0x80070057不正確

安裝並成功設定 Intune 憑證連接器后，裝置不會收到 PKCS 憑證，而 NDESConnector_date_time.svclog 記錄包含字串 The 參數不正確。0x80070057，如下列範例所示：

CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

原因 - PKCS 設定檔的設定

如果 Intune 中的 PKCS 設定檔設定錯誤，就會發生此問題。 以下是常見的設定錯誤：

• 配置檔包含不正確的 CA 名稱。
• 主體別名 （SAN） 已設定為電子郵件位址，但目標使用者還沒有有效的電子郵件位址。 這個組合會導致 SAN 的 Null 值無效。

解決方案：

確認 PKCS 設定檔的下列設定，然後等候原則在裝置上重新整理：

• 使用 CA 的名稱進行設定
• 指派給正確的使用者群組
• 群組中的使用者具有有效的電子郵件位址

如需詳細資訊，請參閱 設定和使用 PKCS 憑證與 Intune。

原則模組拒絕

當裝置收到受信任的跟證書，但未收到 PFX 憑證，而 NDESConnector_date_time.svclog 記錄包含字串 提交失敗：原則模組拒絕，如下列範例所示：

IssuePfx - The submission failed: Denied by Policy Module
IssuePfx -Generic Exception: System.InvalidOperationException: IssuePfx - The submission failed
   at Microsoft.Management.Services.NdesConnector.MicrosoftCA.GetCertificate(PfxRequestDataStorage pfxRequestData, String containerName, String& certificate, String& password)
Issuing Pfx certificate for Device ID <Device ID> failed  

原因 – 證書範本的電腦帳戶許可權

當裝載 Intune 憑證連接器之伺服器的電腦帳戶沒有證書範本的許可權時，就會發生此問題。

解決方案：

1. 使用具有系統管理許可權的帳戶登入您的企業CA。
2. 開啟 [證書頒發機構單位] 控制台，以滑鼠右鍵按兩下 [證書範本]，然後選取 [管理]。
3. 尋找證書範本，然後開啟 範本的 [屬性 ] 對話方塊。
4. 選取 [ 安全性] 索引標籤，並新增您安裝 Microsoft Intune 憑證連接器之伺服器的 [計算機帳戶]。 授與該帳戶 讀取 和 註冊 許可權。
5. 選取 [套用>確定] 以儲存證書範本，然後關閉 [證書範本] 主控台。
6. 在 [證書頒發機構單位] 控制台中，以滑鼠右鍵按兩下 [證書範本>] [要發行的新>證書範本]。
7. 選取您修改的範本，然後按下 [ 確定]。

如需詳細資訊，請參閱 在 CA 上設定證書範本。

憑證配置檔停滯為擱置中

在 Microsoft Intune 系統管理中心，PKCS 憑證配置檔無法部署狀態為 Pending。 NDESConnector_date_time.svclog 記錄檔中沒有明顯的錯誤。 由於記錄中無法清楚識別此問題的原因，因此請完成下列原因。

原因 1 - 未處理的要求檔案

檢閱要求檔案中是否有錯誤，指出為何無法處理錯誤。

1. 在裝載 Intune 憑證連接器的伺服器上，使用 檔案總管 流覽至 %programfiles%\Microsoft Intune\PfxRequest。

2. 使用您慣用的文字編輯器，檢閱 [失敗] 和 [處理] 資料夾中的檔案。

   

3. 在這些檔案中，尋找指出錯誤或建議問題的專案。 使用 Web 型搜尋，查閱錯誤訊息，以取得要求為何無法處理，以及解決這些問題的解決方案。

原因 2 - PKCS 憑證設定檔的設定錯誤

當您在 [失敗]、[處理] 或 [成功] 資料夾中找不到要求檔案時，原因可能是錯誤憑證與 PKCS 憑證配置檔相關聯。 例如，次級 CA 與設定檔相關聯，或使用錯誤的跟證書。

解決方案：

1. 檢閱信任的憑證配置檔，以確保您已將跟證書從企業 CA 部署到裝置。
2. 檢閱您的 PKCS 憑證設定檔，以確保它參考正確的 CA、憑證類型，以及將跟證書部署到裝置的受信任憑證配置檔。

如需詳細資訊，請參閱 在 Microsoft Intune 中使用憑證進行驗證。

錯誤 -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED

PKCS 憑證無法部署，而發行 CA 上的憑證控制台會顯示包含字串 -2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED 的訊息，如下列範例所示：

Active Directory Certificate Services denied request abc123 because The Email name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). The request was for CN=" Common Name".  Additional information: Denied by Policy Module".

原因 -「要求中的供應」設定錯誤

如果在證書範本 [內容] 對話方塊的 [主體名稱] 索引卷標上未啟用 [要求中的供應] 選項，就會發生此問題。

解決方案：

編輯樣本以解決組態問題：

1. 使用具有系統管理許可權的帳戶登入您的企業CA。
2. 開啟 [證書頒發機構單位] 控制台，以滑鼠右鍵按兩下 [證書範本]，然後選取 [管理]。
3. 開啟憑證範本的 [屬性] 對話框。
4. 在 [ 主體名稱] 索引標籤上，選取 要求中的 [提供]。
5. 選取 [ 確定 ] 以儲存證書範本，然後關閉 [證書範本] 主控台。
6. 在 [證書頒發機構單位] 控制台中，以滑鼠右鍵按兩下 [範本>要發行的新>證書範本]。
7. 選取您修改的範本，然後選取 [ 確定]。