Foi negado um pedido de certificado.
Uma das principais funções de uma autoridade de certificação (AC) é avaliar os pedidos de certificados feitos por clientes e, se os critérios predefinidos estiverem reunidos, emitir certificados para esses clientes. Para a inscrição de certificado ter êxito, é necessário reunir uma série de elementos antes de submeter o pedido, nomeadamente, necessita de uma AC com um certificado de AC válido, modelos de certificados, contas de clientes e pedidos de certificados devidamente configurados, e uma forma de o cliente submeter o pedido à AC, ter o pedido validado e instalar o certificado emitido.
Eliminar condições que impeçam a aprovação de um pedido de certificado
Os problemas na criação de cadeia são uma causa comum da falha de pedidos de certificados. Utilize o procedimento indicado a seguir para validar a cadeia de certificados para a autoridade de certificação (AC) e corrigir os problemas identificados:
Confirme as informações da conta do utilizador nos Serviços de Domínio do Active Directory (AD DS).
Confirme as informações do modelo de certificado.
Confirme a cadeia de certificados para a AC.
Verifique as listas de revogação de certificados (CRLs) mais recentes.
Publique uma CRL nova.
Se isto não resolver o problema, verifique e resolva problemas nas seguintes áreas:
A fila de pedidos falhados para a AC
A conectividade dos AD DS
As assinaturas necessárias para concluir o pedido de certificado podem não estar disponíveis. Se for este o caso:
Conceda certificados da autoridade de registo a mais utilizadores para assinarem pedidos de certificados.
Modifique o modelo de certificado de forma a que sejam necessárias menos assinaturas da autoridade de registo.
Submeta o pedido de certificado outra vez.
Confirmar as informações da conta de utilizador nos AD DS
Este procedimento exige que seja membro do grupo de Administradores do Domínio, ou que lhe tenha sido delegado o nível de autoridade apropriado.
Para confirmar as informações da conta de utilizador:
No controlador de domínio, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços e Locais do Active Directory.
Na árvore da consola, selecione o grupo de domínios e de utilizadores onde a conta do utilizador deve estar localizada.
Se a conta de utilizador existir, clique com o botão direito do rato na conta, clique em Propriedades e confirme se o utilizador tem um nome DNS (Sistema de Nomes de Domínio) devidamente configurado.
Confirmar as informações do modelo de certificado
Este procedimento exige que tenha permissão para gerir AC ou que lhe tenha sido delegado o nível de autoridade apropriado.
Para confirmar as informações do modelo de certificado:
No computador que aloja a AC, clique em Iniciar, escreva certtmpl.msc e prima ENTER.
Clique com o botão direito do rato no modelo de certificado onde está a fazer a resolução de problemas e confirme se o utilizador ou o grupo tem permissões para se inscrever para um certificado baseado neste modelo.
Confirmar a cadeia de certificados para a AC
Para validar a cadeia para a AC:
Clique em Iniciar, escreva mmc e prima ENTER.
Se aparecer a caixa de diálogo Controlo de Conta de Utilizador, confirme que a ação apresentada é a que pretende e clique em Continuar.
No menu Ficheiro, clique em Adicionar/Remover Snap-in, clique em Certificados e clique em Adicionar.
Clique em Conta de computador e clique em Seguinte.
Selecione o computador que aloja a AC, clique em Concluir e depois clique em OK.
Selecione cada um dos certificados de AC na cadeia de certificados e clique em Ver Certificado.
Clique no separador Detalhes e clique em Copiar para Ficheiro para iniciar o Assistente Para Exportar Certificados. Guarde cada um dos certificados com uma extensão .cer.
Abra uma linha de comandos e execute o seguinte comando em cada certificado da AC: Escreva certutil -urlfetch -verify <CAcert.cer> e, em seguida, prima ENTER. Substitua <CAcert.cer> pelo nome de um ficheiro de certificado da AC que tenha guardado no passo 7.
Utilize o mesmo comando com um ficheiro de certificado para um certificado de entidade final (utilizador ou computador) emitido pela AC para confirmar CRLs para a própria AC e para a sua cadeia.
Resolva os problemas identificados na saída da linha de comandos.
Gerar e publicar CRLs novas
Se a saída da linha de comandos indicar que uma CRL de uma AC expirou, gere CRLs base e delta novas na AC e copie-as para as localizações pretendidas. Pode ter de reiniciar uma AC offline para fazer isto.
Na AC, verifique a CRL publicada atual. Por predefinição, a AC cria CRLs na pasta %windir%\System32\CertSrv\CertEnroll. Se as CRLs presentemente nesta localização tiverem expirado ou forem inválidas, pode utilizar os procedimentos seguintes para publicar uma CRL nova.
Para publicar uma CRL nova utilizando o snap-in da Autoridade de Certificação:
No computador que aloja a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Selecione a AC e expanda as pastas por baixo do nome da AC.
Clique com o botão direito do rato na pasta Certificados Revogados.
Clique em Todas as Tarefas e clique em Publicar.
Pode também gerar e publicar CRLs a partir de uma linha de comandos.
Para publicar uma CRL utilizando a ferramenta de linha de comandos Certutil:
No computador que aloja a AC, clique em Iniciar, escreva cmd e prima ENTER.
Escreva certutil -CRL e prima ENTER.
Se uma CRL for identificada como indisponível mas existe uma CRL válida no diretório local na AC, confirme se a AC consegue ligar ao ponto de distribuição de CRL e depois aplique os passos anteriores para gerar e publicar as CRLs outra vez.
As CRLs podem ser publicadas manualmente nos Serviços de Domínio do Active Directory (AD DS) utilizando o seguinte comando:
certutil -dspublish"<crlname.crl>" ldap:///CN=<CA name>,CN=<CA hostname>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint
Substitua crlname.crl pelo nome do seu ficheiro CRL, <CA name> e <CA hostname> pelo seu nome da AC e o nome do anfitrião onde essa AC é executada, e <contoso> e <com> pelo espaço de nomes do seu domínio do Active Directory.
Confirmar os pontos de distribuição configurados da CRL
Verifique todos os pontos de distribuição configurados da CRL para confirmar se a publicação teve êxito e se há CRLs novas disponíveis na rede.
Este procedimento exige que tenha permissão para gerir AC ou que lhe tenha sido delegado o nível de autoridade apropriado.
Para verificar os pontos de distribuição configurados da CRL utilizando o snap-in da Autoridade de Certificação:
No computador que aloja a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Clique com o botão direito do rato no nome da AC e clique em Propriedades.
Clique no separador Extensões.
Reveja os pontos de distribuição configurados da CRL e confirme se os nomes são válidos.
Para verificar os URLs dos pontos de distribuição configurados da CRL utilizando Certutil:
Abra uma janela da linha de comandos na AC.
Escreva certutil -getreg ca\crlpublicationurls e prima ENTER.
Reveja os pontos de distribuição configurados da CRL e confirme se os nomes são válidos.
Verificar a fila de pedidos falhados na AC
Este procedimento exige que tenha permissão para gerir AC ou que lhe tenha sido delegado o nível de autoridade apropriado.
Para verificar a fila de pedidos falhados na AC utilizando o snap-in da Autoridade de Certificação:
No computador que aloja a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Clique em Pedidos Falhados.
Procure pedidos falhados que tenham sido submetidos na hora do evento ou perto dessa hora e verifique colunas tais como Mensagem de Disposição de Pedido, Código de Estado do Pedido e Nome do Autor do Pedido para informações de diagnóstico adicionais.
Para verificar os pedidos falhados utilizando Certutil:
No computador que aloja a AC, clique em Iniciar, escreva cmd e prima ENTER.
Escreva certutil -view LogFail e prima ENTER.
Escreva certutil -view -restrict requestID="<nnn>" e prima ENTER. Substitua <nnn> pelo ID do Pedido de um dos pedidos que falharam na saída do comando LogFail.
Confirmar a conectividade dos AD DS
Para confirmar a ligação dos Serviços de Certificados do Active Directory (AD CS) aos AD DS:
Na AC, abra uma janela da linha de comandos.
Escreva ping <server_FQDN>, em que server_FQDN é o nome de domínio completamente qualificado (FQDN) do controlador de domínio (por exemplo, server1.contoso.com) e depois prima ENTER.
Se o ping for bem-sucedido, irá receber uma resposta semelhante a esta:
Reply from IP_address: bytes=32 time=3ms TTL=59
Reply from IP_address: bytes=32 time=20ms TTL=59
Reply from IP_address: bytes=32 time=3ms TTL=59
Resposta de endereço_IP: bytes=32 tempo=6ms TTL=59 3
Na linha de comandos, escreva ping <IP_address>, em que IP_address é o endereço IP do controlador de domínio e depois prima ENTER.
Se conseguir ligar com êxito ao controlador de domínio através do endereço IP, mas não através do FQDN, isto indica um possível problema na resolução de nomes do anfitrião DNS (Sistema de Nomes de Domínio). Se não conseguir ligar ao controlador de domínio através do endereço IP, isto indica um possível problema na conectividade da rede, configuração do firewall ou configuração de segurança do Protocolo Internet (IPsec).
Emitir certificados de autoridade de registo adicionais
Este procedimento exige que seja membro nos Administradores locais no computador que aloja a AC, ou que lhe tenha sido delegado o nível de autoridade apropriado.
Para emitir certificados de autoridade de registo adicionais:
No computador que aloja a AC, clique em Iniciar, escreva certtmpl.msc e prima ENTER.
No painel de detalhes, clique com o botão direito do rato no modelo de certificado da autoridade de registo e clique em Propriedades.
No separador Segurança, adicione os nomes dos utilizadores ou grupos para os quais quer emitir certificados da autoridade de registo.
Em Nomes de grupos ou utilizadores, clique em um dos novos objetos e depois, em Permissões para NomeObjeto, sob a coluna Permitir, selecione as caixas de confirmação Ler e Inscrever.
Repita o passo anterior para cada objeto novo e clique em OK.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Faça duplo clique no nome da AC.
Clique com o botão direito do rato no contentor Modelos de Certificados, clique em Novo e clique em Modelo de Certificado a Emitir.
Selecione o modelo de certificado e clique em OK.
Modificar requisitos da assinatura do modelo de certificado
Este procedimento exige que tenha permissão para gerir AC ou que lhe tenha sido delegado o nível de autoridade apropriado.
Para modificar requisitos da assinatura do modelo de certificado:
No computador que aloja a AC, clique em Iniciar, escreva certtmpl.msc e prima ENTER.
No painel de detalhes, clique com o botão direito do rato no modelo de certificado que pretende alterar e depois clique em Propriedades.
Clique no separador Requisitos de Emissão.
Em Este número de assinaturas autorizadas, introduza o número de assinaturas de autoridade de registo que quer utilizar.
Repita o passo anterior para cada objeto novo e clique em OK.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Faça duplo clique no nome da AC.
Clique com o botão direito do rato no contentor Modelos de Certificados, clique em Novo e clique em Modelo de Certificado a Emitir.
Selecione o modelo de certificado e clique em OK.
Para confirmar se o processamento do pedido de certificado está a funcionar corretamente:
Clique em Iniciar, escreva certmgr.msc e prima ENTER.
Se aparecer a caixa de diálogo Controlo de Conta de Utilizador, confirme que a ação apresentada é a que pretende e clique em Continuar.
Na árvore da consola, faça duplo clique em Pessoal e clique em Certificados.
No menu Ação, aponte para Todas as Tarefas e clique em Requisitar um Novo Certificado para iniciar o assistente de Inscrição de Certificado.
Utilize o assistente para criar e submeter um pedido de certificado para qualquer tipo de certificado disponível.
Em Resultados da Instalação de Certificados, confirme se a inscrição teve êxito e certifique-se de que não foram reportados erros. Pode também clicar em Detalhes para ver mais informações sobre o certificado.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 57 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.57" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">57</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
</WriteActions>
</Rule>