Esta seção lista alguns problemas comuns que você pode encontrar ao usar o snap-in Modelos de Certificados ou trabalhar com modelos de certificado. Para obter mais informações sobre solução de problemas com modelos de certificado, consulte Solução de problemas dos serviços de certificado do Active Directory (https://go.microsoft.com/fwlink/?LinkId=89215).

Qual é o seu problema?

O snap-in Modelos de Certificados não relaciona nenhum modelo após solicitar a instalação novos modelos de certificado.
  • Causa: Os modelos de certificado ainda não foram replicados na autoridade de certificação à qual o computador está conectado. A replicação é parte da replicação do Active Directory.

  • Solução: Aguardar até que os modelos de certificado se repliquem e reabrir o snap-in Modelos de Certificados.

Os certificados não estão sendo emitidos para os clientes.
  • Causa: O certificado de emissão usado pela autoridade de certificação tem um tempo de vida mais curto do que o período de sobreposição configurado para o modelo de certificado. Isso significa que o certificado emitido deveria ser imediatamente qualificado para novo registro. Em vez de emitir e renovar continuamente o certificado, a solicitação de certificado não é processada.

  • Solução: Renovar o certificado emitido usado pela autoridade de certificação.

Os certificados são emitidos para entidades, mas as operações criptográficas com esses certificados não funcionam.
  • Causa: O provedor de serviços de criptografia (CSP) não corresponde às configurações de uso de chave ou não existe.

  • Solução: Confirmar se o CSP configurado no modelo oferece suporte ao tipo de operação criptográfica com a qual o certificado será usado.

Os controladores de domínio não obtêm um certificado de controlador de domínio.
  • Causa: O registro automático foi desabilitado usando configurações de Diretiva de grupo para controladores de domínio. Os controladores de domínio obtêm seus certificados pelo registro automático.

  • Solução: Habilitar o registro automático para controladores de domínio.

  • Causa: A configuração padrão de Solicitação de certificado automática para controladores de domínio foi removida da Diretiva padrão de controladores de domínio.

  • Solução: Criar uma nova Solicitação de certificado automática na Diretiva padrão de controladores de domínio do modelo de certificado do Controlador de domínio.

Os clientes não conseguem obter certificados pelo registro automático.
  • Causa: As permissões de segurança devem ser definidas de modo que as entidades possam ser registradas e registradas automaticamente no modelo de certificado. As duas permissões são necessárias para habilitar o registro automático.

  • Solução: Modificar a lista de controle de acesso discricionário (DACL) do modelo de certificado para conceder permissões de Leitura, Registro e Registro automático para as entidades desejadas.

Os nomes dos modelos de certificado do snap-in estão inconsistentes entre exibições ou janelas
  • Causa: Serviços e sites do Active Directory estão sendo usados para exibir os modelos de certificado. Esse snap-in talvez não ofereça uma exibição tão precisa quando o snap-in de modelos de certificado.

  • Solução: Usar o snap-in Modelos de Certificados para administrar os modelos de certificado.

A chave privada não pode ser exportada de certificados de cartão inteligente, mesmo quando a opção Permitir que a chave privada seja exportada está selecionada no modelo de certificado.
  • Causa: Cartões inteligentes não permitem que chaves privadas sejam exportadas após terem sido gravadas no cartão.

  • Solução: Nenhuma

O modelo de certificado é modificado, mas algumas autoridades de certificação ainda mostram a versão sem alterações.
  • Causa: Os modelos de certificado são replicados entre autoridades de certificação pelo processo de replicação do Active Directory. Como essa replicação não é instantânea, pode haver um pequeno atraso até que a nova versão do modelo esteja disponível em todas as autoridades de certificação.

  • Solução: Aguardar até que o modelo modificado seja replicado a todas as autoridades de certificação. Para exibir os modelos de certificado disponíveis na autoridade de certificação, use a ferramenta de linha de comando Certutil.exe.

A chave privada não é arquivada, mesmo depois de selecionada a opção Arquivar chave privada de criptografia de requerente e configurada a autoridade de certificação para exigir recuperação de chave.
  • Causa: As chaves privadas não são arquivadas quando o uso da chave para o modelo de certificado está definido como Assinatura. Isso se deve à exigência do uso de assinatura digital de que a chave não seja recuperável.

  • Solução: Nenhuma

O registro automático solicita a renovação de um certificado que não me pertence e há certificados estranhos no meu repositório de certificados pessoais.
  • Causa: Ao usar a estação de registro de cartão inteligente no computador do administrador para renovar ou alterar o certificado armazenado no cartão, o certificado do cartão é copiado no repositório de certificado particular do administrador. O certificado pode ser processado por registro automático e solicitar que você inicie o processo de renovação.

  • Solução: Clicar em Iniciar para iniciar o processo de renovação de registro automático. Como o certificado não é seu, o processo de registro automático se encerrará após clicar em Iniciar. Se desejar remover os certificados do seu repositório de certificados pessoais, pode fazê-lo manualmente.

Sumário