Os Serviços de Certificados não puderam excluir um Certificado de Autoridade de Certificação ao Active Directory.
Os Serviços de Certificados do Active Directory (AD CS) exigem pelo menos um acesso de Leitura, e, em alguns casos, acesso de Gravar, para certos objetos nos Serviços de Domínio do Active Directory (AD DS). Falha em acessar os objetos do Active Directory pode impedir o AD CS de iniciar.
Habilitar o AD CS a excluir um certificado de AC dos Serviços de Domínio Active Directory
Para habilitar os Serviços de Certificados do Active Directory (AD CS) a excluir o certificado da autoridade de certificação (AC) identificado na mensagem do log de eventos dos Serviços de Domínio Active Directory (AD DS):
Confirme que a AC tem as permissões necessárias sobre contêineres e objetos AD DS essenciais.
Confirme se existe um certificado de AC no contêiner AIA.
Confirme o status do certificado da AC.
Depois de essas condições terem sido tratadas, exclua o certificado manualmente.
Para executar esse procedimento, você deve estar associado a Administradores do Domínio ou ter a devida autoridade no controlador de domínio.
Confirmar permissão sobre contêineres e objetos AD DS essenciais
Para confirmar que a AC tem as permissões necessárias sobre contêineres e objetos AD DS dentro destes contêineres:
Em um controlador de domínio, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Sites e Serviços do Active Directory.
Clique em Sites e Serviços do Active Directory [nome de domínio], em que [nome de domínio] é o nome do seu domínio.
No menu Visualizar, clique em Mostrar Nó de Serviços.
Clique duas vezes em Services, Public Key Services e clique com o botão direito do mouse em cada contêiner listado abaixo os nos objetos listados dentro do contêiner e clique em Propriedades.
Na guia Segurança, confirme as permissões necessárias.
A seguir estão todas as permissões do Active Directory exigidas por um computador hospedando uma AC. Algumas dessas permissões são obtidas via associação no grupo Editores de Certificados.
Contêiner dos Serviços de Inscrição. O computador da AC tem acesso de leitura e Gravar ao seu próprio objeto.
Contêiner AIA. O Grupo Editores de Certificados tem acesso de Controle Total sobre o contêiner AIA e o computador da AC tem acesso de Controle Total sobre seu próprio objeto dentro do contêiner AIA.
Contêiner CDP. O grupo Editores de Certificados tem acesso de Controle Total sobre todos os contêineres da sob o contêiner CDP, e o computador da AC tem acesso de Controle Total sobre todos os objetos da lista de revogação de certificado (CRL) em seu próprio contêiner.
Contêiner de Autoridades de Certificação. O grupo Editores de Certificados tem acesso de Controle Total sobre os objetos dentro deste contêiner.
Contêiner de Modelos de Certificados. Os grupos Administradores de Empresa e Administradores de Domínio (não o computador da AC) têm acesso de Controle Total ou acesso de Leitura e Gravar a esse contêiner e à maioria dos objetos dentro dele.
Contêiner KRA. O computador da AC tem acesso de Controle Total sobre seu próprio objeto.
Contêiner OID. Os grupos Administradores de Empresa e Administradores de Domínio, não o computador da AC, têm acesso de Controle Total ou acesso de Leitura e Gravar a esse contêiner e aos contêineres e objetos dentro dele.
Objeto NTAuthCertificates. Os grupos Administradores de Empresa e Administradores de Domínio, não o computador da AC, têm acesso de Controle Total ou acesso de Leitura e Gravar.
Contêineres de Computadores de Domínio e Usuários de Domínio. O grupo Editores de Certificados tem permissões de Leitura e Gravar sobre a propriedade do userCertificate de cada usuário e objeto de computador na floresta em que o AD CS está implantado.
Para executar esses procedimentos, você deve ter uma permissão de Gerenciar AC ou ter recebido a devida autoridade.
Confirme se existe um Certificado de Autoridade de Certificação no contêiner AIA
Para exibir os conteúdos do contêiner AIA no AD DS:
Abra uma janela de prompt de comando.
Digite certutil -cainfo e pressione ENTER.
Na saída do comando, observe a propriedade listada após o Nome Curto Corrigido.
Digite o seguinte comando e pressione ENTER: certutil -viewstore ldap:/// CN=<MyCA>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority
Substitua MyCA pela propriedade Nome Curto Corrigido da etapa 3 e substitua contoso e com pelo nome diferenciado do Protocolo LDAP do domínio raiz do Active Directory.
Confirme o status do Certificado de Autoridade de Certificação
Para confirmar o status do Certificado de Autoridade de Certificação identificado na mensagem de log de evento:
Abra uma janela de prompt de comando.
Digite certutil -verify ldap:///CN=<Meu_AC>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority e pressione ENTER.
Se o certificado deveria ter sido excluído, mas não foi, você pode excluí-lo manualmente com o procedimento "Excluir o certificado da AC manualmente".
Exclua o Certificado de Autoridade de Certificação manualmente
Para excluir o Certificado de Autoridade de Certificação manualmente:
Abra uma janela de prompt de comando.
Digite certutil -viewdelstore ldap:///CN=<Meu_AC>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority e pressione ENTER.
Selecione o Certificado de Autoridade de Certificação a excluir e clique em OK.
Para verificar a conexão entre um AC e os Serviços de Domínio do Active Directory (AD DS):
Abra uma janela de prompt de comando no computador hospedando a AC.
Digite nltest /sc_verify: [domainname] e pressione ENTER.
Use o seguinte procedimento para confirmar permissões sobre contêineres e objetos AD DS essenciais.
Substitua [nome de domínio] pelo nome do namespace em que a AC está instalada.
Confirmar permissão sobre contêineres e objetos AD DS essenciais
Para executar esse procedimento, você deve estar associado a Administradores do Domínio ou ter a devida autoridade.
Para confirmar que a AC tem as permissões necessárias sobre contêineres e objetos AD DS dentro destes contêineres:
Em um controlador de domínio, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Sites e Serviços do Active Directory.
Clique em Sites e Serviços do Active Directory [nome de domínio], em que [nome de domínio] é o nome do seu domínio.
No menu Visualizar, clique em Mostrar Nó de Serviços.
Clique duas vezes em Services, Public Key Services e clique com o botão direito do mouse em cada contêiner listado abaixo os nos objetos listados dentro do contêiner e clique em Propriedades.
Na guia Segurança, confirme as permissões necessárias.
A seguir estão todas as permissões do Active Directory exigidas por um computador hospedando uma AC. Algumas dessas permissões são obtidas via associação no grupo Editores de Certificados.
Contêiner dos Serviços de Inscrição. O computador da AC tem acesso de leitura e Gravar ao seu próprio objeto.
Contêiner AIA. O Grupo Editores de Certificados tem acesso de Controle Total sobre o contêiner AIA e o computador da AC tem acesso de Controle Total sobre seu próprio objeto dentro do contêiner AIA.
Contêiner CDP. O grupo Editores de Certificados tem acesso de Controle Total sobre todos os contêineres da sob o contêiner CDP, e o computador da AC tem acesso de Controle Total sobre todos os objetos da lista de revogação de certificado (CRL) em seu próprio contêiner.
Contêiner de Autoridades de Certificação. O grupo Editores de Certificados tem acesso de Controle Total sobre os objetos dentro deste contêiner.
Contêiner de Modelos de Certificados. Os grupos Administradores de Empresa e Administradores de Domínio (não o computador da AC) têm acesso de Controle Total ou acesso de Leitura e Gravar a esse contêiner e à maioria dos objetos dentro dele.
Contêiner KRA. O computador da AC tem acesso de Controle Total sobre seu próprio objeto.
Contêiner OID. Os grupos Administradores de Empresa e Administradores de Domínio, não o computador da AC, têm acesso de Controle Total ou acesso de Leitura e Gravar a esse contêiner e aos contêineres e objetos dentro dele.
Objeto NTAuthCertificates. Os grupos Administradores de Empresa e Administradores de Domínio, não o computador da AC, têm acesso de Controle Total ou acesso de Leitura e Gravar.
Contêineres de Computadores de Domínio e Usuários de Domínio. O grupo Editores de Certificados tem permissões de Leitura e Gravar sobre a propriedade do userCertificate de cada usuário e objeto de computador na floresta em que o AD CS está implantado.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 107 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.107" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">107</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID62fe9963ca0840238c71200c88d2958c"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>