Os Serviços de Certificados mudaram para o fornecedor predefinido de chaves de encriptação.
Os Serviços de Certificados do Active Directory (AD CS) requerem certificados do agente de recuperação de chaves, certificados de troca (XCHG) e chaves a fim de suportarem o arquivo de chaves. O funcionamento dos certificados do agente de recuperação de chaves, dos certificados XCHG e dos fornecedores de serviços de criptografia (CSPs) necessários à sua criação é essencial para uma infraestrutura de chaves públicas.
Utilizar um fornecedor de serviços de criptografia que suporte arquivamento e recuperação de chaves
Poderá não ser possível utilizar ferramentas administrativas para resolver problemas causados por fornecedores de criptografia, componente de software que executa a encriptação e tarefas relacionadas para gerar certificados de encriptação. Porém, as tarefas indicadas a seguir podem revelar informações de diagnóstico para ajudar no processo de resolução:
Identifique e teste o seu fornecedor de criptografia.
Se continua a ter problemas e está a utilizar um fornecedor que não é da Microsoft, contate o fabricante para obter informações de resolução de problemas.
Pode também repor o fornecedor da chave de encriptação predefinido, mas também terá de revogar o atual certificado de troca da AC para que um novo, baseado no fornecedor novo, seja emitido.
Se continua a ter problemas e está a utilizar um fornecedor da Microsoft, contate o Suporte e Atendimento ao Cliente da Microsoft.
Identificar e testar um fornecedor de criptografia
Este procedimento exige que tenha permissão para gerir AC ou que lhe tenha sido delegado o nível de autoridade apropriado.
Para identificar e testar o fornecedor de criptografia que está a utilizar:
Abra uma janela da linha de comandos.
Escreva certutil -getreg ca\EncryptionCSP e prima ENTER.
Escreva certutil -csp <providername> -csptest e prima ENTER. Substitua providername pelo fornecedor identificado após a conclusão do passo 2.
Se está a utilizar um fornecedor de criptografia que não é da Microsoft, contate o fabricante para obter ajuda. Caso contrário, contate o Suporte e Atendimento ao Cliente da Microsoft.
Repor o fornecedor da chave de encriptação predefinido
Este procedimento exige que seja membro do grupo de Administradores locais, ou que lhe tenha sido delegado o nível de autoridade apropriado.
Pode configurar a autoridade de certificação (AC) para utilizar o fornecedor predefinido da Microsoft para certificados de encriptação definindo a chave de registo seguinte para o Fornecedor de Armazenamento de Chaves da Microsoft.
Nota: Pode ter de revogar o certificado de troca da AC atual, se houver um, para um novo, baseado no novo fornecedor, ser emitido. A seguir reinicie a AC.
Para modificar um fornecedor de chave de encriptação configurado:
Atenção: A edição incorreta do registo poderá danificar gravemente o sistema. Antes de fazer alterações no registo, deve fazer uma cópia de segurança de todos os dados importantes.
No computador que aloja a AC, clique em Iniciar, escreva regedit e prima ENTER.
Vá para HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Nome da AC\EncryptionCSP\Provider.
Modifique o valor listado para Fornecedor de Armazenamento de Chaves da Microsoft.
Abra o snap-in da Autoridade de Certificação.
Na árvore da consola, clique em Certificados Emitidos.
No painel de detalhes, selecione o certificado de troca da AC.
No menu Ação, aponte para Todas as Tarefas e clique em Revogar Certificado.
Selecione o motivo para revogar o certificado, ajuste a hora da revogação, se for necessário, e clique em Sim.
Reinicie a AC.
Para confirmar se o arquivamento e recuperação de chaves estão a funcionar corretamente:
No computador que aloja a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Na árvore da consola, clique com o botão direito do rato no nome da autoridade de certificação (AC) e depois clique em Propriedades.
Clique no separador Agentes de Recuperação.
Confirme se todos os certificados do agente de recuperação de chaves estão listados como Válido.
No contentor de Modelos de Certificados, confirme se um certificado de encriptação tem a opção Arquivar chave privada de encriptação do requerente configurada no separador Processamento de Pedidos.
Abra o Snap-in de certificados de uma conta de utilizador que possua permissões para se inscrever para um certificado baseado neste modelo de certificado.
Na árvore da consola, clique com o botão direito do rato em Pessoal, aponte para Todas as Tarefas e clique em Requisitar um Novo Certificado para iniciar o assistente de Inscrição de Certificado.
Inscreva-se para um certificado baseado no modelo de encriptação e depois confirme se a inscrição teve êxito e que não foram reportados erros.
Quando concluir a inscrição, abra o snap-in da Autoridade de Certificação.
Na árvore da consola, clique em Certificados Emitidos.
Localize a entrada do certificado que acabou de ser emitido e adicione a coluna Chave Arquivada à lista de apresentação de snap-in.
Confirme se a palavra Sim aparece na coluna Chave Arquivada para o certificado que acabou de ser emitido.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 88 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.88" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">88</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>