Serviços de Certificado não puderam criar um certificado cruzado.
Quando o certificado da autoridade de certificação (AC) raiz for renovado, tanto o certificado raiz original quanto o certificado raiz renovado continuam a ser importantes na hierarquia de chave pública. O certificado AC raiz original continua sendo a base definitiva de confiança para a hierarquia e ajuda a validar as cadeias de certificado para todos os certificados que foram emitidos sob a hierarquia original. O certificado da AC raiz renovado fornece a base para confiança para todos os certificados emitidos na hierarquia da data de renovação em diante
Para dar suporte a esses cenários, um par de certificados inter-AC também é criado para estabelecer o relacionamento de confiança entre o certificado original e raiz renovado.
O primeiro certificado cruzado verifica se o certificado da AC raiz original confia no certificado de AC renovado.
O segundo certificado cruzado verifica se o certificado da AC renovado confia no certificado de AC raiz original.
ACs independentes geram certificados cruzados autoassinados quando as chaves da AC são alteradas. Um certificado cruzado é gerado para cada transição de chave, para o período em que a vida de cada certificado raiz se sobrepõe.
.
Quando um certificado de autoridade de certificação (AC) raiz é renovado com uma nova chave, a AC automaticamente gera certificados cruzados entre os certificados antigo e novo da AC. Se tiver ocorrido uma falha de criptografia enquanto o certificado cruzada estava sendo assinado, você pode conseguir solucionar o problema corrigindo o conflito de extensão. Caso contrário, habilite o CryptoAPI 2.0 Diagnostics para reunir informações de solução de problemas adicionais.
Para executar esses procedimentos, você deve ter uma permissão de Gerenciar AC ou ter recebido a devida autoridade.
Resolver um conflito de extensão
Resolver um conflito de extensão:
Clique em Iniciar, digite mmc e pressione ENTER.
Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é a opção que deseja usar e clique em Continuar.
No menu Arquivo, clique em Adicionar/Remover Snap-in, clique em Certificados e depois clique em Adicionar.
Clique em Conta do Computador e clique em Avançar.
Selecione o computador hospedando a AC, clique em Concluir e clique em OK.
Clique na guia Detalhes e clique em Mostrar: Somente extensões.
Clique duas vezes no Certificado de Autoridade de Certificação anterior e exiba as extensões configuradas para esse certificado.
Compare as extensões no último certificado de AC com as extensões no certificado da AC anterior.
Corrija qualquer incompatibilidade entre extensões reconfigurando a solicitação de certificado e enviando uma nova solicitação de certificado.
Observação: Para obter informações sobre a configuração de uma solicitação de certificado personalizada, consulte "Advanced Certificate Enrollment and Management” (Gerenciamento e Registro de Certificado Avançado) ( http://go.microsoft.com/fwlink/?LinkID=74577).
Habilitar o CryptoAPI 2.0 Diagnostics
Para habilitar o CryptoAPI 2.0 Diagnostics:
No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas e, em seguida, clique em Visualizador de Eventos.
Na árvore do console, expanda Visualizador de Eventos, Logs de Aplicativos e Serviços, Microsoft, Windows, e CAPI2.
Clique com o botão direito do mouse em Operacional e depois em Habilitar Log.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços.
Clique com o botão direito em Serviços de Certificados do Active Directory e clique em Reiniciar.
Procure qualquer verificação de certificado de AC ou erros de encadeamento. Resolva quaisquer erros e reinicie a AC novamente.
Se as extensões estiverem corretas e a verificação e o encadeamento do certificado da AC estiverem corretos, os certificados inter-AC ausentes devem ser gerados automaticamente quando a AC reiniciar.
Para verificar se a autoridade de certificação (AC) é capaz de criar um certificado cruzado para certificar o próprio certificado durante a renovação do certificado da AC:
No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Na árvore de console, clique no nome da AC.
No menu Ação , aponte para Todas as Tarefas e clique em Renovar Certificado da AC para iniciar o Assistente de Renovação de Certificado.
Abra o snap-in Certificados no computador e clique duas vezes no certificado da AC.
Clique na guia Detalhes e clique em Mostrar: Somente extensões.
Clique duas vezes no Certificado de Autoridade de Certificação anterior e exiba as extensões configuradas para esse certificado.
Compare as extensões no último certificado de AC com as extensões no certificado da AC anterior para confirmar que combinam.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 102 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.102" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">102</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID45e4d639a5ed47f4b4f4ae5914594727"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>