Solución de problemas de entrega de certificados aprovisionados por SCEP a dispositivos de Microsoft Intune

  • Artículo

En este artículo se proporcionan instrucciones para la solución de problemas que le ayudarán a investigar la entrega de certificados a los dispositivos cuando se usa el Protocolo simple de inscripción de certificados (SCEP) para aprovisionar certificados en Intune. Una vez que el servidor del Servicio de inscripción de dispositivos de red (NDES) recibe el certificado solicitado para un dispositivo de la entidad de certificación (CA), vuelve a pasar ese certificado al dispositivo.

Este artículo se aplica al paso 5 del flujo de trabajo de comunicación SCEP; entrega del certificado al dispositivo que envió la solicitud de certificado.

Revisión de la entidad de certificación

Cuando la entidad de certificación haya emitido el certificado, verá una entrada similar al ejemplo siguiente en la CA:

Captura de pantalla de un ejemplo de certificados emitidos.

Revisión del dispositivo

Android

En el caso de los dispositivos inscritos por el administrador de dispositivos, verá una notificación similar a la siguiente imagen, que le pide que instale el certificado:

Captura de pantalla de una notificación de Android.

Para Android Enterprise o Samsung Knox, la instalación del certificado es automática y silenciosa.

Para ver un certificado instalado en Android, use una aplicación de visualización de certificados de terceros.

También puede revisar el registro de dispositivos OMADM. Busque entradas similares a los ejemplos siguientes, que se registran cuando se instalan los certificados:

Certificado raíz:

2018-02-27T04:50:52.1890000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        9    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALL_REQUESTED
2018-02-27T04:53:31.1300000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595        0    Root cert '17…' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T04:53:32.0390000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeRootCertInstallStateMachine     9595       14    Root cert '17…' state changed from CERT_INSTALLING to CERT_INSTALL_SUCCESS

Certificado aprovisionado a través de SCEP

2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    There are 1 requests
2018-02-27T05:16:08.2500000    VERB    Event     com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager    18327       10    Trying to enroll certificate request: ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787
2018-02-27T05:16:20.6150000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:20.6530000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACert(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=ca
2018-02-27T05:16:21.7460000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.7890000    VERB    Event     org.jscep.transport.UrlConnectionGetTransport    18327       10    Received '200 OK' when sending GetCACaps(ca) to https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:28.0340000    VERB    Event     org.jscep.transaction.EnrollmentTransaction    18327       10    Response: org.jscep.message.CertRep@3150777b[failInfo=<null>,pkiStatus=SUCCESS,recipientNonce=Nonce [GUID],messageData=org.spongycastle.cms.CMSSignedData@27cc8998,messageType=CERT_REP,senderNonce=Nonce [GUID],transId=TRANSID]
2018-02-27T05:16:28.2440000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       10    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ENROLLED to CERT_INSTALL_REQUESTED
2018-02-27T05:18:44.9820000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327        0    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALL_REQUESTED to CERT_INSTALLING
2018-02-27T05:18:45.3460000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       14    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_INSTALLING to CERT_ACCESS_REQUESTED
2018-02-27T05:20:15.3520000    INFO    Event     com.microsoft.omadm.platforms.android.certmgr.state.NativeScepCertInstallStateMachine    18327       21    SCEP cert 'ModelName=AC_51…%2FLogicalName_39907…;Hash=1677525787' state changed from CERT_ACCESS_REQUESTED to CERT_ACCESS_GRANTED

iOS/iPadOS

En el dispositivo iOS/iPadOS o iPadOS, puede ver el certificado en el perfil de Administración de dispositivos. Explore en profundidad para ver los detalles de los certificados instalados.

Captura de pantalla de los certificados de iOS en el perfil de Administración de dispositivos.

También puede encontrar entradas similares a las siguientes en el registro de depuración de iOS:

Debug 18:30:53.691033 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\  
Debug 18:30:54.640644 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
Debug 18:30:55.487908 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgMFADCABgkqhkiG9w0BBwGggCSABIIZfzCABgkqhkiG9w0BBwOggDCAAgEAMYIBgjCCAX4CAQAwZjBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxHDAaBgoJkiaJk/IsZAEZFgxmb3VydGhjb2ZmZWUxGDAWBgNVBAMTD0ZvdXJ0aENvZmZlZSBDQQITaAAAAAmaneVjEPlcTwAAAAAACTANBgkqhkiG9w0BAQEFAASCAQCqfsOYpuBToerQLkw/tl4tH9E+97TBTjGQN9NCjSgb78fF6edY0pNDU+PH4RB356wv3rfZi5IiNrVu5Od4k6uK4w0582ZM2n8NJFRY7KWSNHsmTIWlo/Vcr4laAtq5rw+CygaYcefptcaamkjdLj07e/Uk4KsetGo7ztPVjSEFwfRIfKv474dLDmPqp0ZwEWRQG 
Debug 18:30:57.285730 -0500 profiled Adding dependent Microsoft.Profiles.MDM to parent www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295 in domain ManagedProfileToManagingProfile to system\ 
Default 18:30:57.320616 -0500 profiled Profile \'93www.windowsintune.com.SCEP.ModelName=AC_51bad41f.../LogicalName_1892fe4c...;Hash=-912418295\'94 installed.\

Windows

En un dispositivo Windows, compruebe que se ha entregado el certificado:

  • Ejecute eventvwr.msc para abrir Visor de eventos. Vaya a Registros de aplicaciones y servicios>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Administración y busque Evento 39. Este evento debe tener una descripción general de: SCEP: Certificado instalado correctamente.

    Captura de pantalla del evento 39 en el registro de aplicaciones de Windows.

Para ver el certificado en el dispositivo, ejecute certmgr.msc para abrir mmc de certificados y comprobar que los certificados raíz y SCEP están instalados correctamente en el dispositivo en el almacén personal:

  1. Vaya a Certificados (equipo local)>Certificados de entidades >de certificación raíz de confianzay compruebe que el certificado raíz de la entidad de certificación está presente. Los valores de Emitido a y Emitido por serán los mismos.
  2. En MMC Certificados, vaya a Certificados:certificadospersonales> de usuario > actuales y compruebe que el certificado solicitado está presente, con Emitido por igual al nombre de la entidad de certificación.

Solución de problemas de errores

Android

Para solucionar problemas de entrega de certificados, revise los errores que se registran en el registro de OMA DM.

iOS/iPadOS

Para solucionar problemas de entrega de certificados, revise los errores que se registran en el registro de depuración de dispositivos.

Windows

Para solucionar problemas con el certificado que no se instala en el dispositivo, busque errores en el registro de eventos de Windows que sugieren problemas:

  • En el dispositivo, ejecute eventvwr.msc para abrir Visor de eventos y, a continuación, vaya a Registros > de aplicaciones y serviciosMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Administración.

Los errores con la entrega e instalación del certificado en el dispositivo suelen estar relacionados con las operaciones de Windows y no con Intune.

Pasos siguientes

Si el certificado se implementa correctamente en el dispositivo, pero Intune no notifica que se ha realizado correctamente, consulte Informes de NDES a Intune para solucionar problemas de informes.