Serviços de Certificado trocaram para o provedor padrão para chaves de criptografia.
Os Serviços de Certificados do Active Directory (AD CS) requerem certificados de agente de recuperação de chave, certificados de intercâmbio (XCHG) e chaves para dar suporte ao arquivamento de chaves. O funcionamento dos certificados do agente de recuperação de chaves, certificados XCHG e os provedores de serviços de criptografia (CSPs) necessários para criá-los é crucial para uma infraestrutura de chave pública.
Use um provedor de serviço de criptografia com suporte para arquivamento e recuperação de chave.
Pode não ser possível usar ferramentas administrativas para resolver problemas causados por provedores de criptografia, pelo componente de software que realiza criptografia e tarefas relacionadas para geração de certificado de criptografia. Entretanto, as seguintes tarefas podem revelar informações diagnósticas para auxiliar no processo de resolução:
Identificar e testar seu provedor de criptografia.
Se você continuar a ter problemas e estiver usando um provedor não Microsoft, entre em contato com o fornecedor para informações de solução de problemas.
Você também pode redefinir o provedor de chave de criptografia padrão, mas precisará também revogar o certificado de Intercâmbio de autoridades de certificação atual para que um novo com base no novo provedor seja emitido.
Se você continuar a ter problemas e estiver usando um provedor Microsoft, entre em contato com o Serviço de Suporte e Atendimento ao Cliente Microsoft.
Identificar e testar um provedor de criptografia
Para executar esse procedimento, você deve ter uma permissão de Gerenciar AC ou ter recebido a devida autoridade.
Para identificar e testar um provedor de criptografia que você está usando:
Abra uma janela de prompt de comando.
Digite certutil -getreg ca\EncryptionCSP e pressione ENTER.
Digite certutil -csp <nome_provedor> -csptest e pressione ENTER. Substitua o nome do provedor pelo provedor identificado na saída da etapa 2.
Se estiver usando um provedor de criptografia não Microsoft, entre em contato com o fornecedor para obter ajuda. Caso contrário, entre em contato com o Serviço de Suporte e Atendimento ao Cliente Microsoft.
Redefina o provedor de chave de criptografia padrão
Para executar esse procedimento, você deve estar associado a Administradores locais ou ter sido delegado à devida autoridade.
Você pode configurar a autoridade de certificação (AC) para usar o provedor Microsoft padrão para certificados de criptografia definindo a seguinte chave de registro para o Microsoft Software Key Storage Provider.
Observação: Pode ser preciso revogar o certificado atual de Intercâmbio de AC, caso haja um, de modo que um novo baseado no novo provedor seja emitido. Então, reinicie a AC.
Para modificar um provedor de chave de criptografia configurado:
Cuidado: a edição incorreta do Registro pode danificar gravemente o sistema. Antes de fazer alterações no Registro, faça backup de todos os dados importantes.
No computador hospedando a AC, clique em Iniciar, digite regedit e pressione ENTER.
Acesse HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\nome da Autoridade de Certificação\EncryptionCSP\Provider.
Altere o valor listado para o Microsoft Software Key Storage Provider.
Abra o snap-in de autoridade de certificação.
Na árvore de console, clique em Certificados Emitidos.
No painel detalhes, selecione o certificado de Intercâmbio de AC.
No menu Ação, aponte para Todas as Tarefas e clique em Revogar Certificado.
Selecione o motivo para revogação do certificado, ajuste o horário da revogação, se necessário, e clique em Sim.
Reinicie a AC.
Para confirmar que o arquivamento e a recuperação de chaves estão funcionando adequadamente:
No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Na árvore do console, clique com o botão direito no nome da autoridade de certificação (AC) e, em seguida, em Propriedades.
Clique na guia Agentes de Recuperação.
Confirme que todos os certificados do agente de recuperação de chave estão listados como Válidos.
No contêiner Modelos de Certificado, confirme que um certificado de criptografia tem a opção de Arquivar chave privada de criptografia da entidade configurada na guia Solicitar Manipulação.
Abra o snap-in Certificados para uma conta de usuário que tenha permissões para inscrever-se para um certificado com base no modelo de certificado.
No árvore do console, clique com o botão direito em Pessoal, aponte para Todas as Tarefas e clique em Solicitar Novo Certificado para iniciar o assistente de Inscrição de Certificado.
Inscreva-se para um certificado com base no modelo de criptografia e confirme que a inscrição foi concluída com sucesso e nenhum erro foi relatado.
Quando a inscrição estiver concluída, abra o snap-in da Autoridade de Certificação.
Na árvore de console, clique em Certificados Emitidos.
Localize a entrada para o certificado que foi recém emitida e adicione a coluna Chave Arquivada à lista de exibição do snap-in.
Confirme que a palavra Sim aparece na coluna Chave Arquivada para o certificado recém-emitido.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 88 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.88" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">88</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>