Os Serviços de Certificados não iniciaram: Certificado de Autoridade de Certificação.
A validação da cadeia ou do caminho é o processo pelo qual os certificados da entidade final (usuário ou computador) e todos os certificados da autoridade de certificação (AC) são processados hierarquicamente até que a cadeia de certificado termine em um certificado autoassinado confiável. Normalmente, é um certificado de AC raiz. A inicialização dos Serviços de Certificados do Active Directory (AD CS) pode falhar se houver problemas com disponibilidade, validade e validação da cadeia para o certificado da AC.
Carregue e confirme um certificado e cadeia de AC válidos.
Você precisa confirmar que um certificado de uma autoridade de certificação (AC) válida está acessível para a validação da cadeia de certificado ocorrer. Você pode resolver problemas associados a localizar um certificado de AC válido confirmando que:
Um certificado de AC válido está disponível no computador hospedando a AC;
Existe um certificado válido de AC no contêiner AIA.
A cadeia de certificado da AC pode ser validada.
Se uma lista de revogação de certificado (CRL) para uma AC na cadeia tiver expirado, uma nova CRL é gerada.
Para executar esses procedimentos, você deve ter uma permissão de Gerenciar AC ou ter recebido a devida autoridade.
Confirme que existe um Certificado de Autoridade de Certificação válido no computador hospedando a AC
Para confirmar que um Certificado de Autoridade de Certificação válido está disponível no computador que hospeda a AC:
Clique em Iniciar, digite mmc e pressione ENTER.
Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é a opção que deseja usar e clique em Continuar.
No menu Arquivo, clique em Adicionar/Remover Snap-in, clique em Certificados e depois clique em Adicionar.
Clique em Conta do computador e clique em Avançar.
Clique em Concluir e depois clique em OK.
Na árvore do console, clique em Certificados (Computador Local) e depois em Pessoal.
Confirme que existe um Certificado de Autoridade de Certificação não expirado nesse repositório.
Confirme que existe um Certificado de Autoridade de Certificação válido no contêiner AIA
Para confirmar que existe um Certificado de Autoridade de Certificação válido no contêiner AIA:
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Sites e Serviços do Active Directory.
Clique em Sites e Serviços do Active Directory [nome de domínio].
No menu Visualizar, clique em Mostrar Nó de Serviços.
Clique duas vezes em Services, Public Key Services e AIA.
Confirme que existe um certificado de AC não expirado no contêiner AIA.
Valide a cadeia de Certificados de Autoridade de Certificação
Para validar a cadeia de Certificados de Autoridade de Certificação:
Abra uma janela de prompt de comando.
Digite certutil -urlfetch -verify no certificado de AC e pressione ENTER.
Confirme que o contêiner AIA e os locais da rede de ponto de distribuição da CRL estão disponíveis, que todos os certificados na cadeia são válidos e não revogados e que CRLs válidos estão disponíveis.
Se os locais do ponto de distribuição CRL ou AIA não estiverem disponíveis, identifique e solucione o problema que os está impedindo de serem acessados.
Se quaisquer certificados na cadeia tiverem expirado ou sido revogados, renove esses certificados. Se o certificada de AC precisar ser reemitido, todos os certificados sob esse certificado na cadeia precisarão ser reemitidos.
Se a CRL para uma AC na cadeia tiver expirado, gere novas CRLs de base e delta nessa AC e copie para os locais requeridos.
Se a AC estiver offline, você pode precisar reiniciá-la.
Verifique e publique CRLs
Para verificar e, se necessário, publicar novas CRLs:
Na AC que é a origem do problema, verifique a CRL publicada atual que, por padrão, é criada na pasta %windir%\System32\CertSrv\CertEnroll.
Se as CRLs que atualmente estão nesse local tiverem expirado ou forem inválidas, abra uma janela de prompt de comando, digite certutil -CRL e pressione ENTER para publicar uma nova CRL.
Para gerar novas CRLs de base e delta:
No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas e, em seguida, selecione Autoridade de Certificação.
Na árvore de console, clique em Certificados Revogados.
No menu Ação, aponte para Todas as Tarefas e clique em Publicar.
Selecione Nova CRL para substituir a CRL publicada anteriormente ou selecione CRL Delta para publicar somente uma CRL delta atual.
Para criar uma CRL usando a ferramenta de linha de comando Certutil:
No computador que hospeda a AC, clique em Iniciar, digite cmd e pressione ENTER.
Digite certutil -CRL e pressione ENTER.
Para publicar as CRLs no AD DS usando a ferramenta de linha de comando Certutil:
Abra uma janela de prompt de comando.
Digite certutil -dspublish "<crlname.crl>" ldap:///CN=<nome_AC>,CN=<nome_host_AC>,CN=CDP,CN=Public Key Services,CN=Ser vices,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint e pressione ENTER.
Substitua crlname.crl pelo nome do seu arquivo de CRL, nome da AC e nome de host da AC pelo nome da AC e o nome do host em que a AC executa, e contoso e com pelo namespace do domínio do Active Directory.
Para confirmar que o certificado da autoridade de certificação (AC) e a cadeia são válidos:
No computador hospedando a AC, clique em Iniciar, digite mmc e pressione ENTER.
Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é a opção que deseja usar e clique em Continuar.
No menu Arquivo, clique em Adicionar/Remover Snap-in, clique em Certificados e depois clique em Adicionar.
Clique em Conta do computador e clique em Avançar.
Clique em Concluir e depois clique em OK.
Na árvore do console, clique em Certificados (Computador Local) e depois em Pessoal.
Confirme que existe um certificado de AC não expirado nesse armazenamento.
Clique com o botão direito nesse certificado e selecione Exportar para iniciar o Assistente de Exportação de Certificado.
Exporte o certificado para um arquivo chamado Cert.cer.
Digite Iniciar, cmd e pressione ENTER.
Digite certutil -urlfetch -verify <cert.cer> e pressione ENTER.
Se nenhuma validação, construção de cadeia ou erros de verificação de revogação forem relatados, a cadeia é válida.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 100 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.100" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">100</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID913091f80a024ef994d855917a662604"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>