Serviços de Certificado não puderam usar um certificado do agente de recuperação de chave.
Os Serviços de Certificados do Active Directory (AD CS) requerem certificados de agente de recuperação de chave, certificados de intercâmbio (XCHG) e chaves para dar suporte ao arquivamento de chaves. O funcionamento dos certificados do agente de recuperação de chaves, certificados XCHG e os provedores de serviços de criptografia (CSPs) necessários para criá-los é crucial para uma infraestrutura de chave pública.
Identificar e usar um certificado de agente de recuperação de chave válido
Para resolver esse problema, é preciso identificar por que o certificado de agente de recuperação de chave que está sendo usado não tem êxito. Em geral, um certificado de agente de recuperação de chave torna-se inutilizável depois de expirar ou ser revogado.
Para executar esse procedimento, você deve ter uma permissão de Gerenciar AC ou ter recebido a devida autoridade.
Para examinar a validade do certificado do agente de recuperação de chave:
No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Clique com o botão direito do mouse no nome da AC (autoridade de certificação) e, em seguida, clique em Propriedades.
Clique na guia Agentes de Recuperação e verifique se o certificado do agente de recuperação de chave cujo índice está listado no log de evento está Expirado ou é Inválido. Para verificar a validade, confirme as datas de validade e que contêm a extensão de uso avançado de chave (EKU) indicando que esse certificado pode ser usado para recuperação de chave.
Se um certificado tiver expirado ou não for válido, remova o certificado do agente de recuperação de chave inválido e atribua um novo. Você pode precisar emitir um novo certificado de agente de recuperação antes de ele poder ser registrado com a AC.
Para obter mais informações, consulte http://go.microsoft.com/fwlink/?LinkID=95698.
Para confirmar que o arquivamento e a recuperação de chaves estão funcionando adequadamente:
No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Na árvore do console, clique com o botão direito no nome da autoridade de certificação (AC) e, em seguida, em Propriedades.
Clique na guia Agentes de Recuperação.
Confirme que todos os certificados do agente de recuperação de chave estão listados como Válidos.
No contêiner Modelos de Certificado, confirme que um certificado de criptografia tem a opção de Arquivar chave privada de criptografia da entidade configurada na guia Solicitar Manipulação.
Abra o snap-in Certificados para uma conta de usuário que tenha permissões para inscrever-se para um certificado com base no modelo de certificado.
No árvore do console, clique com o botão direito em Pessoal, aponte para Todas as Tarefas e clique em Solicitar Novo Certificado para iniciar o assistente de Inscrição de Certificado.
Inscreva-se para um certificado com base no modelo de criptografia e confirme que a inscrição foi concluída com sucesso e nenhum erro foi relatado.
Quando a inscrição estiver concluída, abra o snap-in da Autoridade de Certificação.
Na árvore de console, clique em Certificados Emitidos.
Localize a entrada para o certificado que foi recém emitida e adicione a coluna Chave Arquivada à lista de exibição do snap-in.
Confirme que a palavra Sim aparece na coluna Chave Arquivada para o certificado recém-emitido.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 85 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.85" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">85</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>