Um certificado na cadeia para o certificado da Autoridade de Certificação foi revogado.
A validação da cadeia ou do caminho é o processo pelo qual os certificados da entidade final (usuário ou computador) e todos os certificados da autoridade de certificação (AC) são processados hierarquicamente até que a cadeia de certificado termine em um certificado autoassinado confiável. Normalmente, é um certificado de AC raiz. A inicialização dos Serviços de Certificados do Active Directory (AD CS) pode falhar se houver problemas com disponibilidade, validade e validação da cadeia para o certificado da AC.
Reemita certificados na cadeia para um certificado de AC revogado
Embora não seja comum um certificado de uma autoridade de certificação (AC) ser revogado. Para solucionar essa situação:
Confirme que o certificado da AC foi revogado.
Pergunte a um administrador da AC se a revogação foi deliberada ou não intencional. Se a certificação tiver sido intencionalmente revogada, mais nenhuma ação é necessária.
Se tiver sido revogada não intencionalmente, o certificado da AC e todos os certificados na ramificação devem ser reemitidos por meio de registro ou registro automático.
Se o problema persistir, habilite CryptoAPI 2.0 Diagnostics para identificar e resolver erros adicionais que possam estar causando o problema.
Para executar esses procedimentos, você deve ter uma permissão de Gerenciar AC ou ter recebido a devida autoridade.
Confirme que o Certificado de Autoridade de Certificação foi revogado
Para confirmar que o Certificado de Autoridade de Certificação foi revogado:
Abra uma janela de prompt de comando.
Digite certutil -urlfetch -verify<CAcert.cer> e pressione ENTER.
Substitua CAcert.cer pelo nome do arquivo de certificado da AC.
Para inscrever-se para um Certificado de Autoridade de Certificação
Para inscrever-se para um Certificado de Autoridade de Certificação:
No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Clique com o botão direito no nome da AC, selecione Todas as Tarefas e clique em Solicitar Certificado de Autoridade de Certificação.
Selecione o arquivo de solicitação e o nome da AC ou o computador hospedando uma AC pai para processar a solicitação e concluir o registro.
Depois de o certificado da AC ter sido instalado, você precisará reemitir todos os certificados que foram emitidos usando o certificado de autoridade de certificação revogado.
Habilitar o CryptoAPI 2.0 Diagnostics
Para habilitar o CryptoAPI 2.0 Diagnostics:
No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas e, em seguida, clique em Visualizador de Eventos.
Na árvore do console, expanda Visualizador de Eventos, Logs de Aplicativos e Serviços, Microsoft, Windows, e CAPI2.
Clique com o botão direito do mouse em Operacional e depois em Habilitar Log.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços.
Clique com o botão direito em Serviços de Certificados do Active Directory e clique em Reiniciar.
Verifique o log de diagnóstico CAPI2 para obter informações relativas a esse erro.
Para confirmar que o certificado da autoridade de certificação (AC) e a cadeia são válidos:
No computador hospedando a AC, clique em Iniciar, digite mmc e pressione ENTER.
Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é a opção que deseja usar e clique em Continuar.
No menu Arquivo, clique em Adicionar/Remover Snap-in, clique em Certificados e depois clique em Adicionar.
Clique em Conta do computador e clique em Avançar.
Clique em Concluir e depois clique em OK.
Na árvore do console, clique em Certificados (Computador Local) e depois em Pessoal.
Confirme que existe um certificado de AC não expirado nesse armazenamento.
Clique com o botão direito nesse certificado e selecione Exportar para iniciar o Assistente de Exportação de Certificado.
Exporte o certificado para um arquivo chamado Cert.cer.
Digite Iniciar, cmd e pressione ENTER.
Digite certutil -urlfetch -verify <cert.cer> e pressione ENTER.
Se nenhuma validação, construção de cadeia ou erros de verificação de revogação forem relatados, a cadeia é válida.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 51 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.51" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">51</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDec09b85c4b5c4b5c9753da70c2ab3dc7"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>