DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 842210 - Última revisão: segunda-feira, 30 de Outubro de 2006 - Revisão: 3.3

 

Nesta página

Sintomas

Num computador com o Microsoft Windows Server 2003 ou Microsoft Windows 2000 Server, poderá não iniciar serviços de certificados.

Além disso, a seguinte mensagem de erro poderá ser registada no registo de aplicações no Visualizador de eventos:

Tipo de evento: erro
Origem do evento: CertSvc
Categoria do evento: nenhum
ID do evento: 42
Data: Date
Hora: Time
Utilizador: N/d
Computador: Computer_Name
Descrição: Serviços de certificados não se iniciou: não foi possível criar cadeia de certificados AC para ISICA. Não é possível encontrar o objecto ou propriedade. 0x80092004 (-2146885628). Para mais informações, consulte Centro de ajuda e suporte no <http://support.microsoft.com>

Causa

Antes de iniciar serviços de certificados, enumera todas as chaves e certificados que tenham sido emitidos à autoridade de certificação (AC), mesmo se as chaves e certificados expiraram. Os serviços de certificados não serão iniciado se qualquer um destes certificados foi removido do arquivo de certificados pessoais do computador local.

Resolução

Para resolver este problema, verifique se o número de thumbprints certificado no registo é igual ao número de certificados foram emitidos para a AC. Se todos os certificados em falta, importe os certificados em falta para o arquivo de certificados pessoais do computador local. Depois de o ter importado os certificados em falta, utilize o comando certutil - repairstore para reparar a ligação entre os certificados importados e o arquivo de chave privado associado.

Para o fazer, utilize um dos seguintes métodos, dependendo da versão do sistema operativo do computador.

Método 1: Windows Server 2003

Para resolver este problema num computador com o Windows Server 2003, siga estes passos.

Passo 1: Procurar certificados em falta

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
322756  (http://support.microsoft.com/kb/322756/ ) Como efectuar uma cópia de segurança e restaurar o registo no Windows


Thumbprints certificado indicam todos os certificados foram emitidos para esta AC. Sempre que um certificado for renovado, um novo thumbprint do certificado é adicionado à lista CaCertHash no registo. O número de entradas nesta lista tem igual ao número de certificados que são emitidos para a AC e que são listados no arquivo de certificados pessoais do computador local.

Para procurar certificados em falta, siga estes passos:
  1. Clique em Iniciar , clique em Executar , escreva regedit e, em seguida, clique em OK .
  2. Localize e, em seguida, clique na seguinte subchave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ Your_Certificate_Authority_Name
  3. No painel da direita, faça duplo clique em CaCertHash .
  4. Tome nota do número de thumbprints de certificado que contém a lista de dados do valor .
  5. Inicie a linha de comandos.
  6. Escreva o seguinte comando e, em seguida, prima ENTER:
    certutil - armazenar
    Compare o número de certificados que estão listados no arquivo de certificados pessoais do computador local para o número de thumbprints certificado indicadas na entrada de registo CaCertHash. Se os números forem diferentes, avance para o "passo 2: importar os certificados em falta." Se os números forem iguais, avance para o "passo 3: instalar o Windows Server 2003 Administration Tools Pack."

Passo 2: Importar os certificados em falta

  1. Clique em Iniciar , aponte para Todos os programas , aponte para Ferramentas administrativas e, em seguida, clique em certificados .

    Se os certificados não aparecer na lista, siga estes passos:
    1. Clique em Iniciar , clique em Executar , escreva mmc e, em seguida, clique em OK .
    2. No menu ficheiro , clique em Adicionar/remover Snap-in .
    3. Clique em Adicionar .
    4. Na lista snap-in , clique em certificados e, em seguida, clique em Adicionar .

      Se for apresentada a caixa de diálogo snap-in Certificados , clique na minha conta de utilizador e, em seguida, clique em Concluir .
    5. Clique em Fechar e, em seguida, clique em OK .

      O directório de certificados é agora adicionado à consola de gestão da Microsoft.
    6. No menu ficheiro , clique em Guardar como , escreva certificados na caixa nome do ficheiro e, em seguida, clique em Guardar .

      Para abrir certificados no futuro, clique em Iniciar , aponte para Todos os programas , aponte para Ferramentas administrativas e, em seguida, clique em certificados .
  2. Expanda certificados , expanda pessoal , clique com o botão direito do rato em certificados , aponte para Todas as tarefas e, em seguida, clique em Importar .
  3. Na página Bem-vindo , clique em seguinte .
  4. Na página ficheiro a importar , escreva o caminho completo do ficheiro de certificado que pretende importar na caixa nome do ficheiro e, em seguida, clique em seguinte . Em alternativa, clique em Procurar , procure o ficheiro e, em seguida, clique em seguinte .
  5. Se o ficheiro que pretende importar um Personal Information Exchange - PKCS # 12 (*.PFX) ficheiros, irá ser-lhe a palavra-passe. Escreva a palavra-passe e, em seguida, clique em seguinte .
  6. Na página Arquivo de certificados , clique em seguinte .
  7. Na página a concluir o Assistente para importar certificados , clique em Concluir .
Nota A AC publica sempre os certificados da AC para a pasta %systemroot%\System32\CertSvc\CertEnroll. Poderá encontrar os certificados em falta na pasta.

Passo 3: Instalar o Windows Server 2003 Administration Tools Pack

Depois de importar os certificados, tem de utilizar a ferramenta Certutil para reparar a ligação entre os certificados importados e o arquivo de chave privado associado. A ferramenta Certutil está incluída nas ferramentas do certificado de AC. As ferramentas de certificados do Windows Server 2003 AC estão localizados no pacote de ferramentas de administração do Windows Server 2003. Se as ferramentas de certificados de AC não estiverem instaladas no computador, instalá-las agora.

Para transferir o pacote de ferramentas de administração do Windows Server 2003, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&DisplayLang=en)

Passo 4: Reparar as ligações

Depois de instalar o pacote de ferramentas de administração do Windows Server 2003, siga estes passos:
  1. Inicie a linha de comandos.
  2. Escreva o seguinte e, em seguida, prima ENTER:
    CD %systemroot%\system32\certsrv\certenroll
  3. Tome nota do certificado na pasta Certenroll semelhante à seguinte:
    Your_Server. Your_Domain. com_rootca.crt
  4. Escreva os seguintes comandos e prima ENTER após cada comando:
    %systemroot%\system32\certutil - addstore meu %systemroot%\system32\certsrv\certenroll\ Your_Server. Your_Domain. com_rootca.crt
    %systemroot%\System32\certutil - dump %systemroot%\system32\certsrv\certenroll\ Your_Server. Your_Domain. com_rootca.crt
    Your_Server. Your_Domain. com_rootca.crt é o nome do certificado na pasta Certenroll que anotou no passo 3.
  5. O resultado do último comando, perto do fim, verá uma linha semelhante à seguinte:
    Chave hash (SHA1) ID: ea c7 d 7 7e e8 cd 84 9b e8 aa 71 d 6 f4 b7 D5 d9 09 b6 32 1b
    Os dados de hash do ID de chave são específicos do computador. Tome nota desta linha.
  6. Escreva o seguinte comando, incluindo as aspas e, em seguida, prima ENTER:
    %systemroot%\system32\certutil - repairstore minha "Key_Id_Hash_Data"
    Neste comando, Key_Id_Hash_Data é a linha que anotou no passo 4. Por exemplo, escreva o seguinte:
    %systemroot%\system32\certutil - repairstore minha "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"
    Em seguida, receberá a seguinte saída:
    CertUtil: - repairstore comando concluído com êxito.
  7. Para verificar os certificados, escreva o seguinte e, em seguida, prima ENTER:
    %systemroot%\system32\certutil - verifykeys
    Depois de executa este comando, receberá a seguinte saída:
    CertUtil: - verifykeys comando concluído com êxito.

Passo 5: Iniciar o serviço de certificados

  1. Clique em Iniciar , aponte para Ferramentas administrativas e, em seguida, clique em Serviços .
  2. Clique com o botão direito do rato em Serviços de certificados e, em seguida, clique em Iniciar .

Método 2: O Windows 2000

Para resolver este problema num computador com o Windows 2000, siga estes passos.

Passo 1: Procurar certificados em falta

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
322756  (http://support.microsoft.com/kb/322756/ ) Como efectuar uma cópia de segurança e restaurar o registo no Windows


Thumbprints certificado indicam todos os certificados foram emitidos para esta AC. Sempre que um certificado for renovado, um novo thumbprint do certificado é adicionado à lista CaCertHash no registo. O número de entradas nesta lista tem igual ao número de certificados que são emitidos para a AC e que são listados no arquivo de certificados pessoais do computador local.

Para procurar certificados em falta, siga estes passos:
  1. Clique em Iniciar , clique em Executar , escreva regedit e, em seguida, clique em OK .
  2. Localize e, em seguida, clique na seguinte subchave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ Your_Certificate_Authority_Name
  3. No painel da direita, faça duplo clique em CaCertHash .
  4. Tome nota do número de thumbprints de certificado que contém a lista de dados do valor .
  5. Inicie a linha de comandos.
  6. Escreva o seguinte e, em seguida, prima ENTER:
    certutil - armazenar
    Compare o número de certificados que estão listados no arquivo de certificados pessoais do computador local para o número de thumbprints certificado indicadas na entrada de registo CaCertHash. Se os números forem diferentes, avance para o "passo 2: importar os certificados em falta." Se os números forem iguais, avance para o "passo 3: instalar o Windows Server 2003 Administration Tools Pack."

Passo 2: Importar os certificados em falta

  1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em certificados .

    Se os certificados não aparecer na lista, siga estes passos:
    1. Clique em Iniciar , clique em Executar , escreva mmc e, em seguida, clique em OK .
    2. No menu consola , clique em Adicionar/remover Snap-in .
    3. Clique em Adicionar
    4. Na lista snap-in , clique em certificados e, em seguida, clique em Adicionar .

      Se for apresentada a caixa de diálogo snap-in Certificados , clique na minha conta de utilizador e, em seguida, clique em Concluir .
    5. Clique em Fechar .
    6. Clique em OK .
    7. O directório de certificados é agora adicionado à consola de gestão da Microsoft.
    8. No menu consola , clique em Guardar como , escreva certificados como o nome do ficheiro e, em seguida, clique em Guardar .

      Para abrir certificados no futuro, clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em certificados .
  2. Expanda certificados , expanda pessoal , clique com o botão direito do rato em certificados , aponte para Todas as tarefas e, em seguida, clique em Importar .
  3. Na página Bem-vindo , clique em seguinte .
  4. Na página ficheiro a importar , escreva o caminho completo do ficheiro de certificado que pretende importar na caixa nome do ficheiro e, em seguida, clique em seguinte . Em alternativa, clique em Procurar , procure o ficheiro e, em seguida, clique em seguinte .
  5. Se o ficheiro que pretende importar um Personal Information Exchange - PKCS # 12 (*.PFX), ser-lhe-á pedido para a palavra-passe. Escreva a palavra-passe e, em seguida, clique em seguinte .
  6. Na página Arquivo de certificados , clique em seguinte .
  7. Na página a concluir o Assistente para importar certificados , clique em Concluir .
Nota A AC publica sempre os certificados da AC para a pasta %systemroot%\System32\CertSvc\CertEnroll. Poderá encontrar os certificados em falta na pasta.

Passo 3: Instalar as ferramentas do Windows Server 2003 Certutil

Depois de importar os certificados, tem de utilizar as ferramentas de certificados do Windows Server 2003 AC para reparar a ligação entre os certificados importados e o arquivo de chave privado associado.

As versões do Windows Server 2003 do certutil.exe e Certreq.exe estão incluídas no pacote de ferramentas de administração do Windows Server 2003. Para instalar as ferramentas num computador com o Windows 2000, tem primeiro de instalar o pacote de ferramentas de administração do Windows Server 2003 num computador com o Windows Server 2003 ou Microsoft Windows XP com Service Pack 1 (SP1) ou com um service pack posterior. Não é possível instalar o pacote de ferramentas de administração do Windows Server 2003 directamente num computador baseado no Windows 2000.

importante Depois de copiar as ferramentas de certificados do Windows Server 2003 AC para o computador baseado no Windows 2000, de duas versões da ferramenta Certutil irão residir no computador baseado no Windows 2000. Não remova a ferramenta Certutil do Windows 2000. Outros programas dependem da versão de Windows 2000 desta ferramenta. Por exemplo, o snap-in MMC de certificados requer a ferramenta Certutil do Windows 2000. Além disso, não registe os Windows Server 2003 Certcli.dll e certadm.dll ficheiros num computador baseado no Windows 2000.

Para utilizar as ferramentas de certificados do Windows Server 2003 AC num computador baseado no Windows 2000, siga estes passos:
  1. Transferir o Windows Server 2003 Administration Tools Pack. Para o fazer, visite o seguinte Web site da Microsoft:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&DisplayLang=en)
  2. Inicie sessão no computador com o Windows Server 2003 ou Windows XP com SP1 ou com um service pack posterior.
  3. Instale o pacote de ferramentas de administração do Windows Server 2003.
  4. No Windows Server 2003 Administration pacote de ferramentas, localize os seguintes ficheiros e, em seguida, copiá-los para um suporte de armazenamento amovível, como uma disquete de 3,5 polegadas:
    Certreq.exe
    Certutil.exe
    Certcli.dll
    Certadm.dll
  5. Iniciar sessão computador baseado no Windows 2000 como administrador.
  6. Insira o suporte de armazenamento amovível que utilizou no passo 4 para a unidade apropriada do computador baseado no Windows 2000.
  7. Inicie a linha de comandos.
  8. Criar uma nova pasta e, em seguida, copie os ficheiros do Media de armazenamento amovível para a nova pasta. Para o fazer, escreva os seguintes comandos e prima ENTER após cada comando:
    cd\
    md W2k3tool
    CD w2k3tool
    Copiar Removable_Media_Drive_Letter: \cert*
    Nota Para evitar conflitos com as versões do Windows 2000 da ferramenta Certutil que já esteja no computador, não inclua a pasta W2k3tool no caminho de procura do sistema.

Passo 4: Reparar as ligações

Depois de copiados os ficheiros de ferramentas de certificados de AC do Windows Server 2003 para o computador baseado no Windows 2000, siga estes passos:
  1. Inicie a linha de comandos.
  2. Escreva o seguinte e, em seguida, prima ENTER:
    CD %systemroot\system32\certsrv\certenroll
  3. Tome nota do certificado na pasta Certenroll semelhante à seguinte: Your_Server. Your_Domain. com_rootca.crt
  4. Escreva os seguintes comandos e prima ENTER após cada comando:
    Root_Drive_Letter: \ w2k3tool \certutil - addstore meu %systemroot%\system32\certsrv\certenroll\ Your_Server. Your_Domain. com_rootca.crt
    Root_Drive_Letter: \ w2k3tool \certutil - dump %systemroot%\system32\certsrv\certenroll\ Your_Server. Your_Domain. com_rootca.crt
    Root_Drive_Letteré a letra do directório raiz.

    Your_Server. Your_Domain. com_rootca.crt é o nome do certificado na pasta Certenroll que anotou no passo 3.
  5. O resultado do último comando, perto do fim, verá uma linha semelhante à seguinte:
    Chave hash (SHA1) ID: ea c7 d 7 7e e8 cd 84 9b e8 aa 71 d 6 f4 b7 D5 d9 09 b6 32 1b
    Os dados de hash do ID de chave são específicos do computador. Tome nota desta linha.
  6. Escreva o seguinte comando, incluindo as aspas e, em seguida, prima ENTER:
    Root_Drive_Letter: \ w2k3tool \certutil - repairstore minha "Key_Id_Hash_Data"
    Neste comando, Key_Id_Hash_Data é a linha que anotou no passo 5. Por exemplo, escreva o seguinte:
    c:\w2k3tool\certutil - repairstore minha "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"
    Depois de concluir este comando, receberá a seguinte saída:
    CertUtil: - repairstore comando concluído com êxito.
  7. Para verificar os certificados, escreva o seguinte comando e, em seguida, prima ENTER:
    Root_Drive_Letter: \ w2k3tool \certutil - verifykeys
    Depois de executa este comando, receberá a seguinte saída:
    CertUtil: - verifykeys comando concluído com êxito.

Passo 5: Iniciar o serviço de certificados

  1. Clique em Iniciar , aponte para Ferramentas administrativas e, em seguida, clique em Serviços .
  2. Clique com o botão direito do rato em Serviços de certificados e, em seguida, clique em Iniciar .

Mais Informação

Tem de encerrar e substituir a AC se uma das seguintes condições for verdadeira:
  • Não consegue localizar os certificados em falta.
  • Os certificados não podem ser reinstalados.
  • Não é possível concluir o comando certutil - repairstore porque as chaves privadas foram removidas.
Para encerrar e para substituir a AC, siga estes passos:
  1. Revoga os certificados da AC que deixou de funcionar correctamente. Para o fazer, siga estes passos:
    1. Inicie sessão como administrador para o computador os que pretende revogar certificados emitidos.
    2. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Autoridade de certificação .
    3. Expanda CA_Name e, em seguida, clique em Certificados emitidos .
    4. No painel direito, clique no certificado que pretende revogar.
    5. No menu acção , aponte para Todas as tarefas e, em seguida, clique em Revogar o certificado .
    6. Na lista código de razão , faça clique sobre o motivo para revogar o certificado e, em seguida, clique em Sim .
    Isto vai revogar todos os certificados que foram emitidos pela AC que deixou de funcionar correctamente.
  2. Publique a lista de revogação (CRL) certificado da AC mais elevado seguinte. Para o fazer, siga estes passos:
    1. Inicie sessão como administrador para o computador com a AC mais elevada seguinte.
    2. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Autoridade de certificação .
    3. Expanda CA_Name e, em seguida, clique em Certificados revogados .
    4. No menu acção , aponte para Todas as tarefas e, em seguida, clique em Publicar .
    5. Clique em Sim para substituir a CRL publicada anteriormente.
  3. Se a AC que deixou de funcionar correctamente tenha sido publicada Serviços de directório do Active Directory, removê-lo. Para remover a AC do Active Directory, siga estes passos:
    1. Inicie a linha de comandos.
    2. Escreva o seguinte e, em seguida, prima ENTER:
      certutil - dsdel CA_Name
  4. Remova serviços de certificados do servidor onde a AC deixou de funcionar correctamente. Para o fazer, siga estes passos:
    1. Clique em Iniciar , aponte para definições e, em seguida, clique em Painel de controlo .
    2. Clique duas vezes em Adicionar/remover programas e, em seguida, clique em Adicionar/remover componentes do Windows .
    3. Na lista componentes , clique para desmarcar a caixa de verificação Serviços de certificados , clique em seguinte e, em seguida, clique em Concluir .
  5. Instale os serviços de certificados. Para o fazer, siga estes passos:
    1. Clique em Adicionar/remover componentes do Windows .
    2. Na lista componentes , clique para seleccionar a caixa de verificação Serviços de certificados , clique em seguinte e, em seguida, clique em Concluir .
  6. Todos os utilizadores, computadores ou serviços com certificados que foram emitidos pela AC que deixou de funcionar correctamente tem inscrição para certificados da AC novo.
Nota Se este problema ocorre na AC raiz da hierarquia de infra-estrutura de chaves públicas (PKI) e se o problema não pode ser reparado, terá de substituir a hierarquia de infra-estrutura de chaves públicas toda.Para obter informações adicionais sobre como remover a hierarquia de infra-estrutura de chaves públicas, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
889250  (http://support.microsoft.com/kb/889250/ ) Para encerrar uma autoridade de certificação empresarial do Windows e a remover objectos tudo relacionados do Windows Server 2003 e do Windows 2000 Server

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Palavras-chave: 
kbmt kbwinservds kbactivedirectory kbtshoot kbprb KB842210 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 842210  (http://support.microsoft.com/kb/842210/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft