Serviços de Certificado falharam em publicar um certificado de entidade final.
Uma das principais funções de uma Autoridade de Certificação (AC) é avaliar as solicitações de certificado de clientes e, se critérios predefinidos forem atendidos, emitir certificados a esses clientes. Para a inscrição da certificação ser bem-sucedida, vários elementos devem estar estabelecidos antes de a solicitação ser enviada, incluindo uma AC com um certificado de AC válido; modelos de certificado adequadamente configurados, contas de cliente e solicitações de certificado; e uma maneira para o cliente enviar a solicitação à AC, ter a solicitação validada e instalar o certificado emitido.
Habilite a publicação de um certificado de entidade final
Para publicar um certificado, é preciso de conectividade de rede e permissões de rede. Para resolver esse problema:
Confirme que você tem conectividade de rede entre a autoridade de certificação (AC) e o cliente.
Confirme que a AC tem permissões de Leitura e Gravar no atributo userCertificate do objeto de computador ou usuário da entidade solicitando o certificado.
Se você tiver mais de um domínio ou uma hierarquia de domínio de dois níveis (pai/filho), é preciso permitir que o grupo Editores de Certificado de um domínio (domínio A) tenha permissões de Leitura e Gravar no atributo userCertificate em outro domínio (domínio B). Para fazer isso, siga o procedimento na seção "Corrigir erros de permissões de domínio cruzado".
Publicar o certificado.
Para executar esses procedimentos, você deve ter uma permissão de Gerenciar AC ou ter recebido a devida autoridade.
Confirmar a conectividade de rede entre um cliente e uma AC
Para confirmar uma conexão de cliente a uma AC:
No cliente, clique em Iniciar, digite cmd e pressione ENTER.
Digite o ping <FQDN_servidor>, onde <FQDN_servidor> é o FQDN (nome de domínio totalmente qualificado) da autoridade de certificação (por exemplo, server1.contoso.com), e pressione ENTER.
Se o ping tiver êxito, você receberá uma resposta semelhante à seguinte:
Responda de IP_address: bytes=32 time=3ms TTL=59
Responda de IP_address: bytes=32 time=20ms TTL=59
Responda de IP_address: bytes=32 time=3ms TTL=59
Resposta de IP_address: bytes=32 time=6ms TTL=59 3
No prompt de comando, digite o ping <endereço_IP>, onde <endereço_IP> é o endereço IP da autoridade de certificação, e pressione ENTER.
Se puder conectar-se à AC com êxito através do endereço IP, mas não pelo FQDN, isto indica um possível problema com a resolução do nome de host do Sistema de Nome de Domínio (DNS). Se não puder conectar-se à AC com êxito através do endereço IP, isto indica um possível problema com a conectividade da rede, a configuração do firewall ou a configuração de segurança do Protocolo de Internet (IPsec).
Confirme as permissões nos contêineres Computadores de Domínio e Usuários de Domínio no Active Directory
Para confirmar que a AC tem as permissões necessárias sobre contêineres e Computadores de Domínio e Usuários de Domínio:
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Sites e Serviços do Active Directory.
No menu Visualizar, clique em Mostrar Nó de Serviços.
Clique duas vezes em Services, Public Key Services, clique com o botão direito do mouse em Computadores de Domínio e clique em Propriedades.
Na guia Segurança, confirme que o grupo Editores de Certificação tem permissões de leitura e Gravar.
Clique com o botão direito em Usuários de Domínio e em Propriedades.
Na guia Segurança, confirme que o grupo Editores de Certificação tem permissões de leitura e Gravar.
Corrigir erros de permissões de domínio cruzado
Para definir essas permissões usando a ferramenta Dsacls:
Clique em Iniciar, digite cmd, pressione ENTER e execute os seguintes comandos:
dsacls "dc=<domínio_B>,dc=<contoso>,dc=<com>" /I:S /G "<domínio_A>\Cert Publishers":RP;userCertificate,user
dsacls "dc=<domínio_B>,dc=<contoso>,dc=<com>" /I:S /G "<domínio_A>\Cert Publishers":WP;userCertificate,user
dsacls "cn=<adminsdholder>,cn=system,dc=<contoso>,dc=<com>" /I:S /G ;\Cert Publishers":RP;userCertificate,user
dsacls "cn=<adminsdholder>,cn=system,dc=<domínio_B>,dc=<contoso>,dc=<com>" /I:S /G "<domínio_A>\Cert Publishers":WP;userCertificate,user
Substitua usando os nomes corretos de sua organização para os espaços reservados <nome_domínio> e <com> ;no exemplo.
Para obter mais informações, consulte o artigo 281271 na Base de Dados de Conhecimento da Microsoft ( http://go.microsoft.com/fwlink/?LinkID=95695).
Publicar um certificado
Para publicar um certificado:
No computador que hospeda a AC, clique em Iniciar, digite cmd e pressione ENTER.
Digite o ping <ipaddress>, em que <ipaddress> é o endereço IP de um controlador de domínio e pressione ENTER para confirmar que você tem uma conexão de rede. Caso você não tenha uma conexão de rede, solucione o problema e tente novamente.
Em um prompt de comando, digite ;certutil -dspublish <cert.cer> ldap:///<local de rede incluído na mensagem de log de eventos> e pressione ENTER. <Cert.cer> é um arquivo de certificado exportado usando o Assistente para Exportação de Certificados.
Se você tiver conectividade, mas ainda não conseguir publicar o certificado, use Usuários e Computadores do Active Directory para confirmar que o computador hospedando a AC tem permissões de Leitura e Gravar para o atributo userCertificate do objeto de usuário ou computador. (Isso é geralmente pela associação no grupo Editores de Certificado).
Para confirmar que o processamento de solicitação de certificado está funcionando adequadamente:
Clique em Iniciar, digite certmgr.msc e pressione ENTER.
Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é a opção que deseja usar e clique em Continuar.
Na árvore de console, clique duas vezes em Pessoal, depois clique em Certificados.
No menu Ação, aponte para Todas as Tarefas e clique em Solicitar Novo Certificado para iniciar o assistente Registro de Certificado.
Use o assistente para criar e enviar uma solicitação de certificado para qualquer tipo de certificado disponível.
Em Resultados da Instalação do Certificado, confirme que a inscrição foi concluída com sucesso e nenhum erro foi relatado. Você também pode clicar em Detalhes para visualizar informações adicionais sobre o certificado.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 80 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.80" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">80</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>