Uma solicitação de certificado foi negada.
Uma das principais funções de uma Autoridade de Certificação (AC) é avaliar as solicitações de certificado de clientes e, se critérios predefinidos forem atendidos, emitir certificados a esses clientes. Para a inscrição da certificação ser bem-sucedida, vários elementos devem estar estabelecidos antes de a solicitação ser enviada, incluindo uma AC com um certificado de AC válido; modelos de certificado adequadamente configurados, contas de cliente e solicitações de certificado; e uma maneira para o cliente enviar a solicitação à AC, ter a solicitação validada e instalar o certificado emitido.
Remova as condições que impedem uma solicitação de certificado de ser aprovada
Problemas na construção de cadeia são uma causa comum de falha de solicitações de certificado. Use o procedimento a seguir para validar a cadeia de certificado para a autoridade de certificação (AC) e corrija quaisquer problemas identificados:
Confirme as informações da conta do usuário nos Serviços de Domínio do Active Directory (AD DS).
Confirme as informações do modelo de certificado.
Confirme a cadeia de certificado para a AC.
Verifique as listas de revogação de certificado mais recentes (CRLs).
Publique uma nova CRL.
Se não resolver o problema verifique e resolva os problemas nas seguintes áreas:
A fila de solicitações que falharam para a AC
Conectividade do AD DS
As assinaturas que são necessárias para concluir a solicitação de certificado podem não estar disponíveis. If this is the case:
Habilite usuários adicionais com certificados de autoridade de registro para assinar solicitações de certificado.
Modifique o modelo do certificado para exigir menos assinaturas da autoridade de registro.
Envie uma solicitação de certificado novamente.
Confirmar as informações da conta de usuário no AD DS
Para executar esse procedimento, você deve estar associado a Administradores do Domínio ou ter a devida autoridade.
Para confirmar as informações da conta de usuário:
No controlador de domínio, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Usuários e Computadores do Active Directory.
Na árvore de console, selecione o grupo de usuário e o domínio em que a conta de usuário deve estar localizada.
Se a conta de usuário existir, clique com o botão direito na conta, clique em Propriedades e confirme que o usuário tem o nome do Sistema de Nome de Domínio (DNS) configurado adequadamente.
Confirmar as informações do modelo de certificado
Para executar esse procedimento, você deve ter uma permissão de Gerenciar AC ou ter recebido a devida autoridade.
Para confirmar as informações do modelo de certificado:
No computador hospedando a AC, clique em Iniciar, digite certtmpl.msc e pressione ENTER.
Clique com o botão direito do mouse no modelo de certificado do qual está resolvendo problemas e confirme que o usuário ou grupo tem permissões para inscrever-se para um certificado com base nesse modelo.
Confirmar a cadeia de certificados para a AC
Para validar a cadeia para a AC:
Clique em Iniciar, digite mmc e pressione ENTER.
Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é a opção que deseja usar e clique em Continuar.
No menu Arquivo, clique em Adicionar/Remover Snap-in, clique em Certificados e depois clique em Adicionar.
Clique em Conta do computador e clique em Avançar.
Selecione o computador que hospeda a AC, clique em Concluir e clique em OK.
Selecione cada certificado da AC na cadeia de certificados e clique em Visualizar Certificado.
Clique na guia Detalhes e em Copiar para Arquivo para iniciar o Assistente de Exportação de Certificado. Salve cada certificado com uma extensão .cer.
Abra um prompt de comando e execute o seguinte comando em cada Certificado de Autoridade de Certificação: certutil -urlfetch -verify <CAcert.cer> e pressione ENTER. Substitua <CAcert.cer> pelo nome de um arquivo de Certificado de Autoridade de Certificação que tenha sido salvo na etapa 7.
Use o mesmo comando com um arquivo de certificado para um certificado de entidade final (usuário ou computador) emitido pela AC para confirmar CRLs para a AC em si, bem como sua cadeia.
Resolva quaisquer problemas identificados na saída da linha de comando.
Gerar e publicar novas CRLs
Se a saída da linha de comando indicar que uma CRL para uma AC expirou, gere novas CRLs de base e delta nessa AC e copie-as para os locais requeridos. Pode ser necessário reiniciar a AC offline para fazer isso.
Na AC, verifique a CRL publicada atual. Por padrão, a AC cria CRLs na pasta %windir%\System32\CertSrv\CertEnroll. Se as CRLs que se encontram atualmente nesse local tiverem expirado ou forem inválidas, é possível usar o procedimento a seguir para publicar uma nova CRL.
Para publicar uma nova CRL usando o snap-in da Autoridade de Certificação:
No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Selecione a AC e expanda as pastas abaixo do nome da AC.
Clique com o botão direito na pasta Certificados Revogados.
Clique em Todas as Tarefas e clique em Publicar.
Também é possível gerar e publicar CRLs de um prompt de comando.
Para publicar uma CRL usando a ferramenta de linha de comando Certutil:
No computador hospedando a AC, clique em Iniciar, digite cmd e pressione ENTER.
Digite certutil -CRL e pressione ENTER.
Se a CRL for identificada como indisponível, mas houver uma CRL válida no diretório local na AC, confirme que a AC pode conectar-se ao ponto de distribuição de AC, então use as etapas anteriores para gerar e publicar CRLs novamente.
As CRLs podem ser publicadas manualmente nos Serviços de Domínio Active Directory (AD DS) usando o comando a seguir:
certutil -dspublish"<crlname.crl>" ldap:///CN=<nome_AC>,CN=<nome_host_AC>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint
Substitua ;crlname.crl ;pelo nome do seu arquivo de CRL, <nome_AC> e <nome_host_AC> ;pelo nome da autoridade de certificação e pelo nome do host em que a autoridade de certificação está em execução e <contoso> e <com> ;pelo namespace do domínio de seu Active Directory.
Confirmar os pontos de distribuição de CRL configurados
Verifique todos os pontos de distribuição CRL configurados para confirmar que a publicação foi bem-sucedida e que novas CRLs estão disponíveis na rede.
Para executar esse procedimento, você deve ter uma permissão de Gerenciar AC ou ter recebido a devida autoridade.
Para verificar os pontos de distribuição da CRL configurados usando o snap-in da Autoridade de Certificação:
No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Clique com o botão direito no nome da AC e em Propriedades.
Clique na guia Extensões.
Revise os pontos de distribuição da CRL configurados e confirme que os nomes são válidos.
Para verificar as URLs configuradas do ponto de distribuição da CRL usando Certutil:
Abra uma janela de prompt de comando na AC.
Digite certutil -getreg ca\crlpublicationurls e pressione ENTER.
Revise os pontos de distribuição da CRL configurados e confirme que os nomes são válidos.
Verificar a fila de solicitações que falharam na AC
Para executar esse procedimento, você deve ter uma permissão de Gerenciar AC ou ter recebido a devida autoridade.
Para verificar a fila de solicitações que falharam na AC usando o snap-in da Autoridade de Certificação:
No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Clique em Solicitações com falha.
Procure solicitações que falharam que foram enviadas no momento ou quase no momento do evento e marque colunas como Mensagem de Solicitar Disposição, Código de Status da Solicitação e Nome do Solicitante para obter informações adicionais de diagnóstico.
Para verificar as solicitações que falharam usando Certutil:
No computador que hospeda a AC, clique em Iniciar, digite cmd e pressione ENTER.
Digite certutil -view LogFail e pressione ENTER.
Digite certutil -view -restrict requestID="<nnn>" e pressione ENTER. Substitua nnn pela ID de solicitação de uma das solicitações com falha na saída do comando LogFail.
Confirmar a conectividade do AD DS
Para confirmar a conexão dos AD CS (Serviços de Certificados do Active Directory) com o AD DS:
No AC, abra uma janela de prompt de comando.
Digite o ping <FQDN_servidor>, onde FQDN_servidor é o FQDN (nome de domínio totalmente qualificado) do controlador de domínio (por exemplo, server1.contoso.com), e pressione ENTER.
Se o ping tiver êxito, você receberá uma resposta semelhante à seguinte:
Responda de IP_address: bytes=32 time=3ms TTL=59
Responda de IP_address: bytes=32 time=20ms TTL=59
Responda de IP_address: bytes=32 time=3ms TTL=59
Resposta de IP_address: bytes=32 time=6ms TTL=59 3
No prompt de comando, digite o ping <endereço_IP>, onde endereço_IP é o endereço IP do controlador de domínio, e pressione ENTER.
Se puder conectar-se ao controlador de domínio com êxito através do endereço IP, mas não pelo FQDN, isto indica um possível problema com a resolução do nome de host do Sistema de Nome de Domínio (DNS). Se não puder conectar-se ao controlador de domínio com êxito através do endereço IP, isto indica um possível problema com a conectividade da rede, a configuração do firewall ou a configuração de segurança do Protocolo de Internet (IPsec).
Emitir certificados de autoridade de registro adicionais
Para executar esse procedimento, você deve ser membro dos Administradores locais no computador hospedando a AC ou deve ter recebido a autoridade apropriada.
Para emitir certificados de autoridade de registro adicionais:
No computador hospedando a AC, clique em Iniciar, digite certtmpl.msc e pressione ENTER.
No painel detalhes, clique com o botão direito do mouse no modelo de certificado da autoridade de registro e depois clique em Propriedades.
Na guia Segurança, adicione os nomes dos usuários ou grupos a quem deseja emitir certificados da autoridade de registro.
Em Grupo ou nomes de usuário, clique em um dos novos objetos e então, em Permissões para Nome do Objeto, sob a coluna Permitir, marque as caixas de seleção Ler e Inscrever.
Repita a etapa anterior para cada novo objeto e clique em OK.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Clique duas vezes no nome da AC.
Clique com o botão direito no contêiner Modelos de Certificado, clique em Novo e em Modelo de Certificado a Emitir.
Selecione o modelo de certificado e clique em OK.
Modificar os requisitos de assinatura do modelo de certificado
Para executar esse procedimento, você deve ter uma permissão de Gerenciar AC ou ter recebido a devida autoridade.
Para modificar os requisitos de assinatura do modelo de certificado:
No computador hospedando a AC, clique em Iniciar, digite certtmpl.msc e pressione ENTER.
No painel detalhes, clique com o botão direito no modelo de certificado que deseja alterar e, em seguida, em Propriedades.
Clique na guia Requisitos de Emissão.
Sob Este número de assinaturas autorizadas, insira o número de assinaturas de autoridade de registro que deseja usar.
Repita a etapa anterior para cada novo objeto e clique em OK.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Clique duas vezes no nome da AC.
Clique com o botão direito no contêiner Modelos de Certificado, clique em Novo e em Modelo de Certificado a Emitir.
Selecione o modelo de certificado e clique em OK.
Para confirmar que o processamento de solicitação de certificado está funcionando adequadamente:
Clique em Iniciar, digite certmgr.msc e pressione ENTER.
Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é a opção que deseja usar e clique em Continuar.
Na árvore de console, clique duas vezes em Pessoal, depois clique em Certificados.
No menu Ação, aponte para Todas as Tarefas e clique em Solicitar Novo Certificado para iniciar o assistente Registro de Certificado.
Use o assistente para criar e enviar uma solicitação de certificado para qualquer tipo de certificado disponível.
Em Resultados da Instalação do Certificado, confirme que a inscrição foi concluída com sucesso e nenhum erro foi relatado. Você também pode clicar em Detalhes para visualizar informações adicionais sobre o certificado.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 7 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.7" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">7</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>