O certificado do agente de recuperação de chave está prestes a expirar.
Os Serviços de Certificados do Active Directory (AD CS) requerem certificados de agente de recuperação de chave, certificados de intercâmbio (XCHG) e chaves para dar suporte ao arquivamento de chaves. O funcionamento dos certificados do agente de recuperação de chaves, certificados XCHG e os provedores de serviços de criptografia (CSPs) necessários para criá-los é crucial para uma infraestrutura de chave pública.
Renove o certificado do agente de recuperação de chave que está prestes a expirar
Os certificados do agente de recuperação de chave que expiram não podem mais ser usados para recuperação de chave. Para continuar usando o arquivamento de chave, renove o certificado do agente de recuperação de chave.
Para realizar esse procedimento, você deve ser o usuário inscrito para o certificado do agente de recuperação de chave.
Para renovar um certificado de agente de recuperação de chave:
Clique em Iniciar, digite certmgr.msc e pressione ENTER.
Na árvore do console, clique duas vezes em Certificados, clique duas vezes em Pessoal e clique em Certificados.
Clique com o botão direito no certificado do agente de recuperação, aponte para Todas as tarefas, e clique em Renovar certificados com nova chave ou em Operações avançadas e Renovar esse certificado com a mesma chave para iniciar o Assistente de Renovação de Certificado.
Siga as etapas no assistente para renovar o certificado.
No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Na árvore de console, clique no nome de uma AC.
No menu Ação, clique em Propriedades.
Clique na guia Agentes de recuperação e então em Arquivar a chave.
Em Número de agentes de recuperação a serem usados, digite o número de agentes de recuperação de chave que serão usados para criptografar a chave arquivada. O número de agentes de recuperação a serem usados deve estar no intervalo entre um e o número de certificados de agente de recuperação configurados. Clique em Adicionar.
Em Seleção de agente de recuperação de chave, clique nos certificados de recuperação de chave que são exibidos e depois em OK. O certificado deve aparecer na lista Certificados de agente de recuperação de chave, mas seu status é listado como Não carregado.
Clique em OK ou Aplicar. Quando solicitado a reiniciar a AC, clique em Sim. Quando a AC for reiniciada, o status dos certificados deve ser listado como Válido.
Para confirmar que o arquivamento e a recuperação de chaves estão funcionando adequadamente:
No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Na árvore do console, clique com o botão direito no nome da autoridade de certificação (AC) e, em seguida, em Propriedades.
Clique na guia Agentes de Recuperação.
Confirme que todos os certificados do agente de recuperação de chave estão listados como Válidos.
No contêiner Modelos de Certificado, confirme que um certificado de criptografia tem a opção de Arquivar chave privada de criptografia da entidade configurada na guia Solicitar Manipulação.
Abra o snap-in Certificados para uma conta de usuário que tenha permissões para inscrever-se para um certificado com base no modelo de certificado.
No árvore do console, clique com o botão direito em Pessoal, aponte para Todas as Tarefas e clique em Solicitar Novo Certificado para iniciar o assistente de Inscrição de Certificado.
Inscreva-se para um certificado com base no modelo de criptografia e confirme que a inscrição foi concluída com sucesso e nenhum erro foi relatado.
Quando a inscrição estiver concluída, abra o snap-in da Autoridade de Certificação.
Na árvore de console, clique em Certificados Emitidos.
Localize a entrada para o certificado que foi recém emitida e adicione a coluna Chave Arquivada à lista de exibição do snap-in.
Confirme que a palavra Sim aparece na coluna Chave Arquivada para o certificado recém-emitido.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 127 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.127" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">127</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>