DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 842210 - Última revisão: segunda-feira, 30 de outubro de 2006 - Revisão: 3.3

 

Nesta página

Sintomas

Em um computador que esteja executando o Microsoft Windows Server 2003 ou Microsoft Windows 2000 Server, serviços de certificados pode não iniciar.

Além disso, a seguinte mensagem de erro pode ser registrada no log do aplicativo em Visualizar eventos:

Tipo de evento: erro
Origem do evento: CertSvc
Categoria do evento: nenhum
IDENTIFICAÇÃO de evento: 42
Data: Date
Tempo: Time
Usuário: N/d
Computador: Computer_Name
Descrição: Serviços de certificados não iniciados: não foi possível criar a cadeia de certificado de autoridade de certificação para ISICA. Não é possível localizar objeto ou propriedade. 0x80092004 (-2146885628). Para obter mais informações, consulte Ajuda e suporte em <http://support.microsoft.com>

Causa

Antes de iniciar serviços de certificado, ele enumera todas as chaves e certificados que foram emitidos para a autoridade de certificação (CA), mesmo se as chaves e os certificados expiraram. Os serviços de certificado não serão iniciado se qualquer um desses certificados foi removido do armazenamento de certificados pessoais do computador local.

Resolução

Para resolver esse problema, verifique se o número de certificado thumbprints no registro é igual ao número de certificados foram emitidos para a autoridade de certificação. Se todos os certificados estiverem ausentes, importe certificados ausentes para o armazenamento de certificados pessoais do computador local. Depois de ter importados os certificados faltando, use o comando certutil - repairstore para reparar o vínculo entre os certificados importados e o armazenamento de chave particular associado.

Para fazer isso, use um dos seguintes métodos, dependendo da versão do sistema operacional seu computador está executando.

Método 1: Windows Server 2003

Para resolver esse problema em um computador baseado no Windows Server 2003, execute essas etapas.

Etapa 1: Procurar certificados faltando

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756  (http://support.microsoft.com/kb/322756/ ) Como fazer backup e restaurar o registro no Windows


Thumbprints certificado indicam todos os certificados que foram emitidos para essa autoridade de certificação. Toda vez que um certificado for renovado, uma novo impressão digital do certificado é adicionada à lista CaCertHash no registro. O número de entradas na lista deve ser igual o número de certificados que são emitidos para a autoridade de certificação e que estão listados no armazenamento de certificado particular do computador local.

Para procurar por certificados ausentes, execute estas etapas:
  1. Clique em Iniciar , clique em Executar , digite regedit e, em seguida, clique em OK .
  2. Localize e, em seguida, clique na seguinte subchave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ Your_Certificate_Authority_Name
  3. No painel direito, clique duas vezes em CaCertHash .
  4. Anote o número de thumbprints de certificado que contém a lista de dados do valor .
  5. Inicie o prompt de comando.
  6. Digite o seguinte comando e pressione ENTER:
    certutil - armazenar
    Compare o número de certificados que estão listados no armazenamento de certificados pessoais do computador local para o número de certificado thumbprints listados na entrada do Registro CaCertHash. Se os números forem diferentes, vá para a "etapa 2: importar certificados ausentes." Se os números forem iguais, vá para a "etapa 3: instalar o Windows Server 2003 Administration Tools Pack."

Etapa 2: Importar certificados ausentes

  1. Clique em Iniciar , aponte para Todos os programas , aponte para Ferramentas administrativas e em seguida, clique em certificados .

    Se os certificados não aparecer na lista, siga estas etapas:
    1. Clique em Iniciar , clique em Executar , digite mmc e, em seguida, clique em OK .
    2. No menu arquivo , clique em Adicionar/remover Snap-in .
    3. Clique em Adicionar .
    4. Na lista snap-in , clique em certificados e, em seguida, clique em Adicionar .

      Se a caixa de diálogo snap-in de certificados é exibida, clique em minha conta de usuário e em seguida, clique em Concluir .
    5. Clique em Fechar e, em seguida, clique em OK .

      O diretório de certificados agora é adicionado ao console de gerenciamento Microsoft (MMC).
    6. No menu arquivo , clique em Salvar como , digite certificados na caixa nome do arquivo e, em seguida, clique em Salvar .

      Para abrir certificados no futuro, clique em Iniciar , aponte para Todos os programas , aponte para Ferramentas administrativas e, em seguida, clique em certificados .
  2. Expanda certificados , expanda pessoal , clique com o botão direito do mouse em certificados , aponte para Todas as tarefas e, em seguida, clique em Importar .
  3. Na página Bem-vindo , clique em Avançar .
  4. Na página arquivo a ser importado , digite o caminho completo do arquivo de certificado que você deseja importar na caixa nome do arquivo e, em seguida, clique em Avançar . Como alternativa, clique em Procurar , procure o arquivo e, em seguida, clique em Avançar .
  5. Se o arquivo que você deseja importar um Personal Information Exchange - arquivo *.PFX (PKCS # 12), você será solicitado a senha. Digite a senha e em seguida, clique em Avançar .
  6. Na página Armazenamento de certificados , clique em Avançar .
  7. Na página Concluindo o Assistente para importação de certificados , clique em Concluir .
Observação A autoridade de certificação publica sempre seus certificados de autoridade de certificação para a pasta %systemroot%\System32\CertSvc\CertEnroll. Talvez os certificados faltando nessa pasta.

Etapa 3: Instalar o Windows Server 2003 Administration Tools Pack

Depois de importar os certificados, você deve usar a ferramenta de Certutil para reparar o vínculo entre os certificados importados e o armazenamento de chave particular associado. A ferramenta Certutil está incluída nas ferramentas do certificado da CA. Ferramentas de certificado o Windows Server 2003 CA estão localizados no pacote de ferramentas de administração do Windows Server 2003. Se as ferramentas de certificado de autoridade de certificação não estão instaladas no computador, instalá-los agora.

Para baixar o pacote de ferramentas de administração do Windows Server 2003, visite o seguinte site da Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&DisplayLang=en)

Etapa 4: Corrigir os links

Depois de instalar o pacote de ferramentas de administração do Windows Server 2003, execute estas etapas:
  1. Inicie o prompt de comando.
  2. Digite o seguinte e pressione ENTER:
    CD %systemroot%\system32\certsrv\certenroll
  3. Anote o certificado na pasta Certenroll semelhante à seguinte:
    Your_Server. Your_Domain. com_rootca.crt
  4. Digite os seguintes comandos e, em seguida, pressione ENTER após cada comando:
    %systemroot%\system32\certutil - addstore meu %systemroot%\system32\certsrv\certenroll\ Your_Server. Your_Domain. com_rootca.crt
    %systemroot%\System32\certutil - despejo %systemroot%\system32\certsrv\certenroll\ Your_Server. Your_Domain. com_rootca.crt
    Your_Server. Your_Domain. com_rootca.crt é o nome do certificado na pasta Certenroll que você anotou na etapa 3.
  5. A saída do comando último, próximo ao final, você verá uma linha similar à seguinte:
    Hash do ID da chave (SHA1): ea c7 d 7 7e e8 cd 84 9b e8 aa 71 d 6 f4 b7 e5 d9 09 b6 32 1b
    Os dados de hash de identificação de chave são específicas ao seu computador. Anote esta linha.
  6. Digite o seguinte comando incluindo as aspas e pressione ENTER:
    %systemroot%\system32\certutil - repairstore meu "Key_Id_Hash_Data"
    Neste comando, Key_Id_Hash_Data é a linha que você anotou na etapa 4. Por exemplo, digite o seguinte:
    %systemroot%\system32\certutil - repairstore meu "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"
    Em seguida, você receberá a seguinte saída:
    CertUtil: - repairstore comando concluído com êxito.
  7. Para verificar os certificados, digite o seguinte e pressione ENTER:
    %systemroot%\system32\certutil - verifykeys
    Depois que esse comando for executado, você receberá a seguinte saída:
    CertUtil: - verifykeys comando concluído com êxito.

Etapa 5: Iniciar os serviços de certificados

  1. Clique em Iniciar , aponte para Ferramentas administrativas e em seguida, clique em serviços .
  2. Clique Serviços de certificados com o botão direito do mouse e, em seguida, clique em Iniciar .

Método 2: Windows 2000

Para resolver esse problema em um computador baseado no Windows 2000, execute essas etapas.

Etapa 1: Procurar certificados faltando

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756  (http://support.microsoft.com/kb/322756/ ) Como fazer backup e restaurar o registro no Windows


Thumbprints certificado indicam todos os certificados que foram emitidos para essa autoridade de certificação. Toda vez que um certificado for renovado, uma novo impressão digital do certificado é adicionada à lista CaCertHash no registro. O número de entradas na lista deve ser igual o número de certificados que são emitidos para a autoridade de certificação e que estão listados no armazenamento de certificado particular do computador local.

Para procurar por certificados ausentes, execute estas etapas:
  1. Clique em Iniciar , clique em Executar , digite regedit e, em seguida, clique em OK .
  2. Localize e, em seguida, clique na seguinte subchave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ Your_Certificate_Authority_Name
  3. No painel direito, clique duas vezes em CaCertHash .
  4. Anote o número de thumbprints de certificado que contém a lista de dados do valor .
  5. Inicie o prompt de comando.
  6. Digite o seguinte e pressione ENTER:
    certutil - armazenar
    Compare o número de certificados que estão listados no armazenamento de certificados pessoais do computador local para o número de certificado thumbprints listados na entrada do Registro CaCertHash. Se os números forem diferentes, vá para a "etapa 2: importar certificados ausentes." Se os números forem iguais, vá para a "etapa 3: instalar o Windows Server 2003 Administration Tools Pack."

Etapa 2: Importar certificados ausentes

  1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em certificados .

    Se os certificados não aparecer na lista, siga estas etapas:
    1. Clique em Iniciar , clique em Executar , digite mmc e, em seguida, clique em OK .
    2. No menu console , clique em Adicionar/remover Snap-in .
    3. Clique em Adicionar
    4. Na lista snap-in , clique em certificados e, em seguida, clique em Adicionar .

      Se a caixa de diálogo snap-in de certificados é exibida, clique em minha conta de usuário e em seguida, clique em Concluir .
    5. Clique em Fechar .
    6. Clique em OK .
    7. O diretório de certificados agora é adicionado ao console de gerenciamento Microsoft (MMC).
    8. No menu console , clique em Salvar como , digite certificados como o nome de arquivo e, em seguida, clique em Salvar .

      Para abrir certificados no futuro, clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em certificados .
  2. Expanda certificados , expanda pessoal , clique com o botão direito do mouse em certificados , aponte para Todas as tarefas e, em seguida, clique em Importar .
  3. Na página Bem-vindo , clique em Avançar .
  4. Na página arquivo a ser importado , digite o caminho completo do arquivo de certificado que você deseja importar na caixa nome do arquivo e, em seguida, clique em Avançar . Como alternativa, clique em Procurar , procure o arquivo e, em seguida, clique em Avançar .
  5. Se o arquivo que você deseja importar um Personal Information Exchange - *.PFX (PKCS # 12), você será solicitado a senha. Digite a senha e em seguida, clique em Avançar .
  6. Na página Armazenamento de certificados , clique em Avançar .
  7. Na página Concluindo o Assistente para importação de certificados , clique em Concluir .
Observação A autoridade de certificação publica sempre seus certificados de autoridade de certificação para a pasta %systemroot%\System32\CertSvc\CertEnroll. Talvez os certificados faltando nessa pasta.

Etapa 3: Instalar as ferramentas do Windows Server 2003 Certutil

Depois de importar os certificados, você deve usar as ferramentas de certificado Windows Server 2003 CA para reparar o vínculo entre os certificados importados e o armazenamento de chave particular associado.

As versões do Windows Server 2003 do Certutil.exe e certreq.exe estão incluídas no pacote de ferramentas de administração do Windows Server 2003. Para instalar as ferramentas em um computador baseado no Windows 2000, você deve primeiro instalar o pacote de ferramentas de administração do Windows Server 2003 em um computador que está executando o Windows Server 2003 ou o Microsoft Windows XP com Service Pack 1 (SP1) ou com um service pack mais recente. O pacote de ferramentas de administração do Windows Server 2003 não pode ser instalado diretamente em um computador baseado no Windows 2000.

importante Depois de copiar as ferramentas de certificado Windows Server 2003 CA para o computador baseado no Windows 2000, duas versões da ferramenta Certutil residirá no computador com Windows 2000. Não remova a ferramenta do Windows 2000 Certutil. Outros programas dependem da versão Windows 2000 dessa ferramenta. Por exemplo, o snap-in do MMC certificados exige a ferramenta do Windows 2000 Certutil. Além disso, não registrar o Windows Server 2003 certcli.dll e certadm.dll arquivos no computador baseado no Windows 2000.

Para usar as ferramentas de certificado Windows Server 2003 CA em um computador baseado no Windows 2000, execute essas etapas:
  1. Baixe o Windows Server 2003 Administration Tools Pack. Para fazer isso, visite o seguinte site:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&DisplayLang=en)
  2. Efetuar logon um computador executando Windows Server 2003 ou o Windows XP com SP1 ou com um service pack mais recente.
  3. Instalar o pacote de ferramentas de administração do Windows Server 2003.
  4. No Windows Server 2003 Administration Tools Pack, localize os seguintes arquivos e copiá-los para uma mídia de armazenamento removível, como um disco de 3,5 polegadas:
    Certreq.exe
    Certutil.exe
    Certcli.dll
    Certadm.dll
  5. Faça logon no computador baseado no Windows 2000 como um administrador.
  6. Insira a mídia de armazenamento removível que você usou na etapa 4 na unidade apropriada do computador com Windows 2000.
  7. Inicie o prompt de comando.
  8. Criar uma nova pasta e, em seguida, copie os arquivos na mídia de armazenamento removível para a nova pasta. Para fazer isso, digite os seguintes comandos e pressione ENTER após cada comando:
    cd\
    md W2k3tool
    CD w2k3tool
    Copiar Removable_Media_Drive_Letter: \cert*
    Observação Para evitar conflitos com as versões Windows 2000 da ferramenta Certutil que já está no computador, não inclua a pasta W2k3tool no caminho de pesquisa do sistema.

Etapa 4: Corrigir os links

Após você ter copiado os arquivos ferramentas de certificados do Windows Server 2003 CA para o computador baseado no Windows 2000, execute estas etapas:
  1. Inicie o prompt de comando.
  2. Digite o seguinte e pressione ENTER:
    CD %systemroot\system32\certsrv\certenroll
  3. Anote o certificado na pasta Certenroll semelhante à seguinte: Your_Server. Your_Domain. com_rootca.crt
  4. Digite os seguintes comandos e, em seguida, pressione ENTER após cada comando:
    Root_Drive_Letter: \ w2k3tool \certutil - addstore meu %systemroot%\system32\certsrv\certenroll\ Your_Server. Your_Domain. com_rootca.crt
    Root_Drive_Letter: \ w2k3tool \certutil - despejo %systemroot%\system32\certsrv\certenroll\ Your_Server. Your_Domain. com_rootca.crt
    Root_Drive_Letteré a letra da pasta raiz.

    Your_Server. Your_Domain. com_rootca.crt é o nome do certificado na pasta Certenroll que você anotou na etapa 3.
  5. A saída do comando último, próximo ao final, você verá uma linha similar à seguinte:
    Hash do ID da chave (SHA1): ea c7 d 7 7e e8 cd 84 9b e8 aa 71 d 6 f4 b7 e5 d9 09 b6 32 1b
    Os dados de hash de identificação de chave são específicas ao seu computador. Anote esta linha.
  6. Digite o seguinte comando, incluindo as aspas e em seguida, pressione ENTER:
    Root_Drive_Letter: \ w2k3tool \certutil - repairstore meu "Key_Id_Hash_Data"
    Neste comando, Key_Id_Hash_Data é a linha que você anotou na etapa 5. Por exemplo, digite o seguinte:
    c:\w2k3tool\certutil - repairstore meu "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"
    Depois de concluir este comando, você receberá a seguinte saída:
    CertUtil: - repairstore comando concluído com êxito.
  7. Para verificar os certificados, digite o seguinte comando e, em seguida, pressione ENTER:
    Root_Drive_Letter: \ w2k3tool \certutil - verifykeys
    Depois que esse comando for executado, você receberá a seguinte saída:
    CertUtil: - verifykeys comando concluído com êxito.

Etapa 5: Iniciar os serviços de certificados

  1. Clique em Iniciar , aponte para Ferramentas administrativas e em seguida, clique em serviços .
  2. Clique Serviços de certificados com o botão direito do mouse e, em seguida, clique em Iniciar .

Mais Informações

Você deve encerrar e substituir a autoridade de certificação, se uma das seguintes condições for verdadeira:
  • Você não pode localizar os certificados faltando.
  • Os certificados não podem ser reinstalados.
  • O comando certutil - repairstore não pode ser concluído porque as chaves particulares foram removidas.
Para encerrar e para substituir a autoridade de certificação, execute estas etapas:
  1. Revogar os certificados para autoridade de certificação que parou de funcionar corretamente. Para fazer isso, execute as seguintes etapas:
    1. Faça logon como um administrador no computador que emitiu os certificados que você deseja revogar.
    2. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Autoridade de certificação .
    3. Expanda CA_Name e, em seguida, clique em Certificados emitidos .
    4. No painel direito, clique no certificado que você deseja revogar.
    5. No menu ação , aponte para Todas as tarefas e, em seguida, clique em Revogar certificado .
    6. Na lista código de razão , clique na razão para revogar o certificado e, em seguida, clique em Sim .
    Isso irá revogar todos os certificados que foram emitidos pela CA que parou de funcionar corretamente.
  2. Publicar a lista de certificados revogados (CRL) na CA de mais alta seguinte. Para fazer isso, execute as seguintes etapas:
    1. Faça logon como um administrador no computador que está executando a próxima CA mais alta.
    2. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Autoridade de certificação .
    3. Expanda CA_Name e, em seguida, clique em Certificados revogados .
    4. No menu ação , aponte para Todas as tarefas e, em seguida, clique em Publicar .
    5. Clique em Sim para substituir a CRL publicada anteriormente.
  3. Se a CA que parou de funcionar corretamente foi publicada em serviços de diretório do Active Directory, remova-o. Para remover a autoridade de certificação do Active Directory, execute essas etapas:
    1. Inicie o prompt de comando.
    2. Digite o seguinte e pressione ENTER:
      certutil - dsdel CA_Name
  4. Remova serviços de certificados do servidor onde a autoridade de certificação parou de funcionar corretamente. Para fazer isso, execute as seguintes etapas:
    1. Clique em Iniciar , aponte para configurações e, em seguida, clique em Painel de controle .
    2. Clique duas vezes em Adicionar ou remover programas e, em seguida, clique em Adicionar ou remover componentes do Windows .
    3. Na lista componentes , clique para desmarcar a caixa de seleção Serviços de certificados , clique em Avançar e em seguida, clique em Concluir .
  5. Instale os serviços de certificados. Para fazer isso, execute as seguintes etapas:
    1. Clique em Adicionar ou remover componentes do Windows .
    2. Na lista componentes , clique para selecionar a caixa de seleção Serviços de certificado , clique em Avançar e, em seguida, clique em Concluir .
  6. Todos os usuários, os computadores ou os serviços com certificados que foram emitidos pela CA que parou de funcionar corretamente devem conseguem inscrever certificados da CA de novo.
Observação Se esse problema ocorre na CA raiz da hierarquia de infra-estrutura de chave pública (PKI) e se o problema não puder ser reparado, você precisará substituir toda a hierarquia PKI.Para obter informações adicionais sobre como remover a hierarquia da PKI, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
889250  (http://support.microsoft.com/kb/889250/ ) Como descomissionar uma autoridade de certificação corporativa do Windows e como remover objetos todos relacionados do Windows Server 2003 e do Windows 2000 Server

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Palavras-chave: 
kbmt kbwinservds kbactivedirectory kbtshoot kbprb KB842210 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 842210  (http://support.microsoft.com/kb/842210/en-us/ )
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store