Esta seção lista alguns problemas comuns que você pode encontrar ao usar o snap-in Autoridade de Certificação ou trabalhando com CAs (autoridades de certificação). Para obter mais informações sobre solução de problemas com autoridades de certificação, consulte Solução de problemas dos Serviços de Certificados do Active Directory (https://go.microsoft.com/fwlink/?LinkId=89215) (essa página pode estar em inglês).

Qual é o seu problema?

Depois da configuração do registro automático, os clientes não são registrados automaticamente para certificados
  • Causa: As informações de Diretiva de Grupo usadas para registro automático ainda não foram replicadas nos computadores clientes. Por padrão, a replicação dessas informações em todos os computadores pode levar até duas horas.

  • Solução: Aguarde a Diretiva de Grupo concluir a replicação ou use a ferramenta da linha de comando Gpupdate para forçar a ocorrência imediata da replicação. Para obter mais informações, consulte Gpupdate (https://go.microsoft.com/fwlink/?LinkId=94248) (essa página pode estar em inglês).

Não foi possível instalar uma autoridade de certificação como corporativa ou não foi possível instalar o suporte ao registro na Web da autoridade de certificação para reconhecer uma CA autônoma.
  • Causa: A autoridade de certificação foi instalada por um usuário que não é membro do grupo Administradores Corporativos ou Admins. do Domínio; portanto, a opção de autoridade de certificação corporativa não estava disponível e as informações sobre a autoridade de certificação não podem ser publicadas nos Serviços de Domínio Active Directory (AD DS).

  • Solução: Faça logon como usuário membro do grupo Administradores Corporativos ou Admins. do Domínio para instalar a autoridade de certificação e o suporte para registro na Web da autoridade de certificação.

  • Causa: O domínio não estava acessível durante a configuração da CA.

  • Solução: Assegure-se de que tenha conectividade de rede para um controlador de domínio durante a configuração de CA.

Erro ao acessar as páginas da CA na Web.
  • Causa: O usuário que está acessando as páginas da Web não é membro do grupo Administradores ou Usuários Avançados no computador local. Quando uma versão mais recente do software de registro na Web estiver disponível na autoridade de certificação, o computador cliente deverá instalá-lo. O usuário deve ser membro do grupo Administradores ou Usuários Avançados para instalar o software.

  • Solução: Faça logon como usuário membro do grupo Administradores ou Usuários Avançados para acessar as páginas de registro na Web e baixar a versão mais recente do software.

  • Causa: As páginas da Web não estão instaladas na autoridade de certificação.

  • Solução: Em um prompt de comando na autoridade de certificação, execute certutil -vroot para instalar as páginas de registro na Web.

Um usuário está tentando efetuar logon com o cartão inteligente e está recebendo esta mensagem: "O sistema não pode fazer logon neste domínio, pois a conta do computador do sistema está faltando no seu domínio primário ou a senha da conta está incorreta."
  • Causa: A conta do computador pode estar desabilitada ou a CA que emitiu o certificado do cartão inteligente não é confiável para o computador.

  • Solução:

    1. Verifique se a conta do computador está habilitada no domínio.

    2. Use o snap-in de certificados para verificar se o certificado raiz da CA está armazenado nas Autoridades de Certificação Raiz Confiáveis no computador do usuário.

    3. Use o snap-in Certificados para verificar se o controlador de domínio foi emitido em um certificado de controlador de domínio que possa ser verificado quanto a uma raiz confiável.

Na tentativa de registrar-se para um certificado de um computador ou conta pertencente a um domínio filho do domínio em que a autoridade de certificação está localizada, o seguinte erro é exibido: "Nenhum modelo foi encontrado. Você não tem permissão para solicitar um certificado de nenhuma autoridade de certificação ou ocorreu um erro durante o acesso ao Active Directory."
  • Causa: As permissões de segurança necessárias não foram definidas nos modelos de certificado.

  • Solução: Modifique as permissões de segurança dos modelos de certificado para incluir as contas de domínio filho das quais deseja permitir registro. Para definir o controle de acesso para modelos de certificado, consulte o artigo Emitindo certificados baseados em modelos de certificados (https://go.microsoft.com/fwlink/?LinkID=142333).

    O tempo limite de alguns caches de controle de acesso deverá expirar depois de serem feitas alterações nas permissões de segurança; portanto, poderá ser necessário aguardar até que as novas permissões de segurança sejam replicadas em toda a rede.

Um agente de registro não pode registrar-se em um modelo de certificado específico em nome de um usuário.
  • Causa: As restrições do agente de registro podem ter sido configuradas para impedir que o agente de registro se registre em certificados baseados no modelo de certificado deste grupo de usuários.

  • Solução: Este comportamento pode ocorrer intencionalmente, se você pretender que o agente de registro se registre em certificados baseados neste modelo de certificado ou para este grupo de usuários. Se não for intencionalmente, siga as etapas de Estabelecer agentes de registro restritos para configurar as permissões corretas do agente de registro para este grupo e modelo de certificado.

  • Causa: O certificado do agente de registro está configurado com uma chave CNG (criptografia de última geração) e o certificado está sendo solicitado de uma CA baseada no Windows Server 2003.

  • Solução: Use um certificado de agente de registro compatível com as autoridades de certificação baseadas no Windows Server 2003 ou solicite o certificado de uma autoridade de certificação em um computador com o Windows Server 2008 R2 ou o Windows Server 2008.

As operações restritas do gerenciador de certificados ou do agente de registro não podem ser concluídas depois que um domínio é renomeado.
  • Causa: Para operações restritas ao responsável, uma autoridade de certificação conta com o nome do Gerente de Contas de Segurança (SAM) do solicitante armazenado no banco de dados do Active Directory para verificar se o responsável tem direitos para gerenciar a solicitação. Entretanto, o nome do SAM contém o nome de domínio e a operação restrita ao responsável falhará, caso o nome de domínio seja alterado (em vez de apenas a parte DNS do nome).

  • Solução: Desabilite ou reconfigure as permissões restritas ao responsável antes de tentar novamente a operação de registro.

Não posso adicionar um novo modelo de certificado versão 2 ou versão 3 à minha CA.
  • Causa: A autoridade de certificação está instalada em um servidor que está executando o Windows Server 2008 R2 Standard ou o Windows Server 2008 Standard. Os modelos de certificado versão 2 e versão 3 e o registro automático de certificado só podem ser usados com autoridades de certificação instaladas no Windows Server 2008 R2 Enterprise, no Windows Server 2008 R2 Datacenter, no Windows Server 2008 Enterprise ou no Windows Server 2008 Datacenter.

  • Solução: Atualize para o Windows Server 2008 R2 Enterprise, o Windows Server 2008 R2 Datacenter, o Windows Server 2008 Enterprise ou o Windows Server 2008 Datacenter.

Tenho um problema não relacionado aqui.
  • Causa: Verifique o log de eventos do servidor. Ele geralmente contém mensagens de erro detalhadas que podem ajudá-lo a diagnosticar e resolver problemas.

  • Solução: Para obter mais informações sobre eventos registrados pelos Serviços de Domínio Active Directory, consulte Solução de problemas dos Serviços de Certificados do Active Directory (https://go.microsoft.com/fwlink/?LinkId=89215) (essa página pode estar em inglês).


Sumário