Os Serviços de Certificados não conseguiram processar um pedido.
Uma das principais funções de uma autoridade de certificação (AC) é avaliar os pedidos de certificados feitos por clientes e, se os critérios predefinidos estiverem reunidos, emitir certificados para esses clientes. Para a inscrição de certificado ter êxito, é necessário reunir uma série de elementos antes de submeter o pedido, nomeadamente, necessita de uma AC com um certificado de AC válido, modelos de certificados, contas de clientes e pedidos de certificados devidamente configurados, e uma forma de o cliente submeter o pedido à AC, ter o pedido validado e instalar o certificado emitido.
Corrigir problemas que impeçam o processamento de pedidos de certificados
Há vários problemas que podem impedir o processamento de um pedido de certificado. Se a mensagem do registo de eventos não contém todas as informações de que necessita para corrigir o problema, os erros e avisos adicionais que antecedam ou que aparecem depois desta mensagem do registo de eventos podem ajudar a identificar a causa.
Para identificar e resolver problemas que podem bloquear o processamento de pedidos de certificados:
Confirme a cadeia de certificados para a autoridade de certificação (AC).
Gere e publique novas listas de revogação de certificados (CRLs).
Confirme os pontos de distribuição configurados da CRL.
Se estes passos não resolverem o problema, consulte a fila de pedidos falhados na AC para obter informações sobre o motivo da falha do pedido.
Os procedimentos que se seguem exigem que tenha permissão para gerir AC ou que lhe tenha sido delegado o nível de autoridade apropriado.
Confirmar a cadeia de certificados para a AC
Para validar a cadeia para a AC:
Clique em Iniciar, escreva mmc e prima ENTER.
Se for apresentada a caixa de diálogo do Controlo de Conta de Utilizador, confirme se a ação apresentada é a que pretende e clique em Continuar.
No menu Ficheiro, clique em Adicionar/Remover Snap-in, clique em Certificados e clique em Adicionar.
Clique em Conta de computador e clique em Seguinte.
Selecione o computador que aloja a AC, clique em Concluir e depois clique em OK.
Selecione cada um dos certificados de AC na cadeia de certificados e clique em Ver Certificado.
Clique no separador Detalhes e clique em Copiar para Ficheiro para iniciar o Assistente Para Exportar Certificados. Guarde cada um dos certificados com uma extensão .cer.
Abra uma janela da linha de comandos e execute o seguinte comando em cada certificado de AC: certutil -urlfetch -verify <CAcert.cer> e depois prima ENTER. Substitua <CAcert.cer> pelo nome de um ficheiro do certificado de AC que tenha guardado no passo 7.
Utilize o mesmo comando com um ficheiro de certificado para um certificado de entidade final (utilizador ou computador) emitido pela AC para confirmar CRLs para a própria AC e para a sua cadeia.
Resolva os problemas identificados na saída da linha de comandos.
Gerar e publicar CRLs novas
Se a saída da linha de comandos indicar que uma CRL de uma AC expirou, gere CRLs base e delta novas na AC e copie-as para as localizações pretendidas. Pode ter de reiniciar uma AC offline para fazer isto.
Na AC, verifique a CRL publicada atual. Por predefinição, a AC cria CRLs na pasta %windir%\System32\CertSrv\CertEnroll. Se as CRLs presentemente nesta localização tiverem expirado ou forem inválidas, pode utilizar os procedimentos seguintes para publicar uma CRL nova.
Para publicar uma CRL nova utilizando o snap-in da Autoridade de Certificação:
No computador que aloja a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Selecione a AC e expanda as pastas por baixo do nome da AC.
Clique com o botão direito do rato na pasta Certificados Revogados.
Clique em Todas as Tarefas e clique em Publicar.
Pode também gerar e publicar CRLs a partir de uma linha de comandos.
Para publicar uma CRL utilizando a ferramenta de linha de comandos Certutil:
No computador que aloja a AC, clique em Iniciar, escreva cmd e prima ENTER.
Escreva certutil -CRL e prima ENTER.
Se uma CRL for identificada como indisponível mas existe uma CRL válida no diretório local na AC, confirme se a AC consegue ligar ao ponto de distribuição de CRL e depois aplique os passos anteriores para gerar e publicar as CRLs outra vez.
As CRLs podem ser publicadas manualmente nos Serviços de Domínio do Active Directory (AD DS) utilizando o seguinte comando:
certutil -dspublish"<crlname.crl>" ldap:///CN=<CA name>,CN=<CA hostname>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint
Substitua crlname.crl pelo nome do seu ficheiro CRL, <CA name> e <CA hostname> pelo nome da sua AC, e o nome do anfitrião onde essa AC é executada e <contoso> e <com> pelo espaço de nomes do seu domínio do Active Directory.
Confirmar os pontos de distribuição configurados da CRL
Verifique todos os pontos de distribuição configurados da CRL para confirmar se a publicação teve êxito e se há CRLs novas disponíveis na rede.
Para verificar os pontos de distribuição configurados da CRL utilizando o snap-in da Autoridade de Certificação:
No computador que aloja a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Clique com o botão direito do rato no nome da AC e clique em Propriedades.
Clique no separador Extensões.
Reveja os pontos de distribuição configurados da CRL para confirmar se a informação está correta.
Para verificar os URLs dos pontos de distribuição configurados da CRL utilizando Certutil:
Abra uma janela da linha de comandos na AC.
Escreva o seguinte comando: certutil -getreg ca\crlpublicationurls e prima ENTER.
Verificar a fila de pedidos falhados na AC
Para verificar a fila de pedidos falhados na AC utilizando o snap-in da Autoridade de Certificação:
No computador que aloja a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Clique na pasta Pedidos Falhados.
Procure pedidos falhados que tenham sido submetidos na hora do evento ou perto dessa hora e verifique colunas tais como Mensagem de Disposição de Pedido, Código de Estado do Pedido e Nome do Autor do Pedido para informações de diagnóstico adicionais.
Para verificar os pedidos falhados utilizando Certutil:
No computador que aloja a AC, clique em Iniciar, escreva cmd e prima ENTER.
Escreva certutil -view LogFail e prima ENTER.
Escreva certutil -view -restrict requestID="<nnn>" e prima ENTER. Substitua <nnn> pelo ID do Pedido de um dos pedidos que falharam na saída do comando LogFail.
Para confirmar se o processamento do pedido de certificado está a funcionar corretamente:
Clique em Iniciar, escreva certmgr.msc e prima ENTER.
Se for apresentada a caixa de diálogo do Controlo de Conta de Utilizador, confirme se a ação apresentada é a que pretende e clique em Continuar.
Na árvore da consola, faça duplo clique em Pessoal e clique em Certificados.
No menu Ação, aponte para Todas as Tarefas e clique em Requisitar um Novo Certificado para iniciar o assistente de Inscrição de Certificado.
Utilize o assistente para criar e submeter um pedido de certificado para qualquer tipo de certificado disponível.
Em Resultados da Instalação de Certificados, confirme se a inscrição teve êxito e certifique-se de que não foram reportados erros. Pode também clicar em Detalhes para ver mais informações sobre o certificado.
Target | Microsoft.Windows.CertificateServices.CARole.6.2 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 22 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.22" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">22</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID515b77767c984710bc8f71a810107927"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>