Risoluzione dei problemi relativi al modulo criteri NDES in Microsoft Intune

Questo articolo fornisce indicazioni che consentono di convalidare e risolvere i problemi relativi al funzionamento del modulo dei criteri NDES (Network Device Enrollment Service) installato con il connettore di certificati Microsoft Intune. Quando NDES riceve una richiesta per un certificato, inoltra la richiesta al modulo dei criteri, che convalida la richiesta come valida per il dispositivo. Dopo la convalida, NDES contatta l'autorità di certificazione (CA) per richiedere il certificato per conto del dispositivo.

Questo articolo si applica sia al passaggio 3 che al passaggio 4 del flusso di lavoro di comunicazione SCEP.

Comunicazione del servizio Registrazione dispositivi di rete al modulo criteri

Dopo aver ricevuto la richiesta di certificato da un dispositivo, NDES convalida tale richiesta con Intune tramite il modulo dei criteri che viene installato con il connettore di certificati Microsoft Intune. Queste voci fanno riferimento al punto di registrazione del certificato.

Voci di log che indicano l'esito positivo:

Per verificare che la richiesta di convalida sia inviata al modulo, cercare una voce simile agli esempi seguenti nei log del server NDES:

  • Log IIS:

    fe80::f53d:89b8:c3e8:5fec%13 POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 - 
    fe80::f53d:89b8:c3e8:5fec%13 NDES_Plugin - 201 0 0 341 875
    
  • Log NDESPlugin:

    Calling VerifyRequest ...  
    Sending request to certificate registration point.
    

    L'esempio seguente indica che la convalida della richiesta di verifica dei dispositivi è riuscita e che il servizio Registrazione dispositivi di rete può ora contattare la CA:

    Verify challenge returns true
    Exiting VerifyRequest with 0x0
    
  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

Quando gli indicatori di esito positivo non sono presenti:

Se non si trovano queste voci, iniziare esaminando le indicazioni per la risoluzione dei problemi per la comunicazione tra dispositivi e server NDES.

Se le informazioni contenute in tale articolo non consentono di risolvere il problema, di seguito sono riportate voci aggiuntive che possono indicare problemi.

NDESPlugin.log contiene un errore 12175

Quando il log contiene un errore 12175 simile al seguente, potrebbe verificarsi un problema con il certificato SSL:

WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID
Failed to send http request /CertificateRegistrationSvc/Certificate/VerifyRequest. Error 12175

I browser e i browser moderni nei dispositivi mobili ignorano il nome comune in un certificato SSL se sono presenti nomi alternativi soggetto .

Soluzione: rilasciare il certificato SSL del server Web con gli attributi seguenti per Nome comune e Nome alternativo soggetto e quindi associarlo alla porta 443 in IIS:

  • Nome soggetto
    CN = nome server esterno
  • Nome alternativo soggetto
    Nome = nome server esterno
    Nome DNS = nome server interno

NDESPlugin.log contiene un errore 403 - Accesso negato: accesso negato"

Quando i log seguenti contengono un errore 403 simile al seguente, il certificato client potrebbe non essere attendibile o non valido:

NDESPlugin.log:

Sending request to certificate registration point.
Verify challenge returns <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>403 - Forbidden: Access is denied.</title>

Log IIS:

POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 -<IP_address>
NDES_Plugin - 403 16 2148204809 453  

Questo problema si verifica se sono presenti certificati CA intermedi nell'archivio certificati Autorità di certificazione radice attendibili del server NDES.

Se un certificato ha gli stessi valori Rilasciato a e Emesso da , si tratta di un certificato radice. In caso contrario, si tratta di un certificato intermedio.

Soluzione: per risolvere il problema, identificare e rimuovere i certificati CA intermedi dall'archivio certificati Autorità di certificazione radice attendibili.

NDESPlugin.log indica che la richiesta di verifica restituisce false

Quando il risultato della richiesta di verifica restituisce false, controllare la presenza di errori in CertificateRegistrationPoint.svclog . Ad esempio, potrebbe essere visualizzato un errore "Impossibile recuperare il certificato di firma" simile alla voce seguente:

Signing certificate could not be retrieved. System.Security.Cryptography.CryptographicException: m_safeCertContext is an invalid handle. at System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid() at System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString() at Microsoft.ConfigurationManager.CertRegPoint.CRPCertificate.RetrieveSigningCert(String certThumbprint

Soluzione: nel server in cui è installato il connettore aprire il Editor del Registro di sistema, individuare la chiave del HKLM\SOFTWARE\Microsoft\MicrosoftIntune\NDESConnector Registro di sistema e quindi verificare se il valore SigningCertificate esiste.

Se questo valore non esiste, riavviare il servizio connettore Intune in services.msc e quindi verificare se il valore viene visualizzato nel Registro di sistema. Se il valore è ancora mancante, è spesso a causa di problemi di connettività di rete tra il server che NDES e il servizio Intune.

NDES passa la richiesta di rilasciare il certificato

Dopo una convalida completata dal punto di registrazione del certificato (modulo dei criteri), il servizio Registrazione dispositivi di rete passa la richiesta di certificato alla CA per conto del dispositivo.

Voci di log che indicano l'esito positivo:

  • Log NDESPlugin:

    Verify challenge returns true
    Exiting VerifyRequest with 0x0
    
  • Log IIS:

    fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe ... 80 - 
    fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 2713 1296
    
  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

Quando gli indicatori di esito positivo non sono presenti:

Se non vengono visualizzate le voci che indicano l'esito positivo, completare questi passaggi:

  1. Cercare i problemi registrati in CertificateRegistrationPoint.svclog quando il punto di registrazione del certificato verifica la richiesta. Cercare le voci tra le righe seguenti:

    • VerifyRequest Avviato.
    • VerifyRequest Completato con stato False
  2. Aprire mmc autorità di certificazione nella CA e selezionare Richieste non riuscite per cercare gli errori che consentono di identificare un problema. L'immagine seguente è un esempio:

    Screenshot di una richiesta di esempio non riuscita.

  3. Esaminare il registro eventi dell'applicazione nella CA per individuare eventuali errori. In genere è possibile visualizzare errori che corrispondono a quanto visualizzato nelle richieste non riuscite del passaggio precedente. L'immagine seguente è un esempio:

    Screenshot che mostra i dettagli del log dell'applicazione.

Passaggi successivi

Se il modulo criteri NDES convalida la richiesta e la richiesta viene inoltrata all'autorità di certificazione, il passaggio successivo consiste nel verificare il recapito del certificato al dispositivo.