Os Serviços de Certificado não podem começar em um computador que está executando o Windows Server 2003 ou Windows 2000

  • Artigo

Este artigo fornece uma solução para um problema em que o CS (Certificate Services) pode não começar em um computador que está executando o Windows Server 2003 ou Windows 2000.

Aplica-se a: Windows 10 — todas as edições, Windows Server 2012 R2
Número original do KB: 842210

Sintomas

Em um computador que está executando o Microsoft Windows Server 2003 ou o Microsoft Windows 2000 Server, os Serviços de Certificado podem não iniciar.

Além disso, a mensagem de erro a seguir pode ser registrada no log do aplicativo no Visualizador de Eventos.

Motivo

Antes do início dos Serviços de Certificado, ele enumera todas as chaves e certificados emitidos para a autoridade de certificação (AC), mesmo que as chaves e os certificados tenham expirado. Os Serviços de Certificado não serão iniciados se algum desses certificados tiver sido removido do repositório de certificados pessoal do computador local.

Resolução

Para resolve esse problema, verifique se o número de impressões digitais de certificado no registro é igual ao número de certificados emitidos para a AC. Se algum certificado estiver ausente, importe os certificados ausentes para o repositório de certificados pessoal do computador local. Depois de importar os certificados ausentes, use o certutil -repairstore comando para reparar o link entre os certificados importados e o repositório de chaves privadas associado.

Para fazer isso, use um dos seguintes métodos, dependendo de qual versão do sistema operacional seu computador está em execução.

Método 1: Windows Server 2003

Para resolve esse problema em um computador baseado no Windows Server 2003, siga estas etapas.

Etapa 1: procure certificados ausentes

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações, consulte Como fazer backup e restaurar o registro no Windows.

As impressões digitais do certificado indicam todos os certificados emitidos para essa AC. Sempre que um certificado é renovado, uma nova impressão digital de certificado é adicionada à lista CaCertHash no registro. O número de entradas nesta lista deve ser igual ao número de certificados emitidos para a AC e listados no repositório de certificados pessoal do computador local.

Para procurar certificados ausentes, siga estas etapas:

  1. Selecione Iniciar, selecione Executar, digite regedit e selecione OK.

  2. Localize e selecione a seguinte subchave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name*

  3. No painel direito, clique duas vezes em CaCertHash.

  4. Anote o número de impressões digitais de certificado que a lista de dados de valor contém.

  5. Iniciar prompt de comando.

  6. Digite o seguinte comando e pressione ENTER: certutil -store

    Compare o número de certificados listados no repositório de certificados pessoal do computador local com o número de impressões digitais de certificado listadas na entrada do registro CaCertHash. Se os números forem diferentes, vá para a Etapa 2: importar os certificados ausentes. Se os números forem os mesmos, vá para a Etapa 3: Instale o Pacote de Ferramentas de Administração do Windows Server 2003.

Etapa 2: importar os certificados ausentes

  1. Selecione Iniciar, aponte para Todos os Programas, aponte para Ferramentas Administrativas e selecione Certificados.

    Se Certificados não aparecerem na lista, siga estas etapas:

    1. Selecione Iniciar, selecione Executar, digite mmc e, em seguida, selecione OK.

    2. No menu Arquivo, clique em Adicionar/Remover Snap-in.

    3. Selecione Adicionar.

    4. Na lista Snap-in , selecione Certificados e, em seguida, selecione Adicionar.

      Se a caixa de diálogo Snap-in Certificados for exibida, selecione Minha conta de usuário e selecione Concluir.

    5. Selecione Fechar e, em seguida, selecione OK.

      O diretório Certificados agora é adicionado ao MMC (Console de Gerenciamento da Microsoft).

    6. No menu Arquivo , selecione Salvar como, digite Certificados na caixa Nome do arquivo e selecione Salvar.

      Para abrir certificados no futuro, selecione Iniciar, aponte para Todos os Programas, aponte para Ferramentas Administrativas e selecione Certificados.

  2. Expanda Certificados, expanda Certificados pessoais, clique com o botão direito do mouse em Certificados, aponte para Todas as Tarefas e selecione Importar.

  3. Na página Bem-vindo, selecione Avançar.

  4. Na página Arquivo para Importar , digite o caminho completo do arquivo de certificado que você deseja importar na caixa Nome do arquivo e selecione Avançar. Em vez disso, selecione Procurar, pesquise o arquivo e selecione Avançar.

  5. Se o arquivo que você deseja importar for um Exchange de Informações Pessoais – PKCS #12 (*. Arquivo PFX), você será solicitado para a senha. Digite a senha e selecione Avançar.

  6. Na página Repositório de Certificados , selecione Avançar.

  7. Na página Concluir o Assistente de Importação de Certificado , selecione Concluir.

Observação

A AC sempre publica seus certificados de AC na %systemroot%\System32\CertSvc\CertEnroll pasta. Você pode encontrar os certificados ausentes nessa pasta.

Etapa 3: instalar o Pacote de Ferramentas de Administração do Windows Server 2003

Depois de importar os certificados, você deve usar a ferramenta Certutil para reparar o link entre os certificados importados e o repositório de chaves privadas associado. A ferramenta Certutil está incluída nas Ferramentas de Certificado de AC. As Ferramentas de Certificado do Windows Server 2003 CA estão localizadas no Pacote de Ferramentas de Administração do Windows Server 2003. Se as Ferramentas de Certificado de AC não estiverem instaladas no computador, instale-as agora.

Depois de instalar o Pacote de Ferramentas de Administração do Windows Server 2003, siga estas etapas:

  1. Iniciar prompt de comando.

  2. Digite o seguinte e pressione ENTER:
    cd %systemroot%\system32\certsrv\certenroll

  3. Anote o certificado na pasta Certenroll que se parece com o seguinte: Your_Server. Your_Domain.com_rootca.crt

  4. Digite os seguintes comandos e pressione ENTER após cada comando: %systemroot%\system32\certutil -addstore my %systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crt%systemroot%\System32\certutil -dump %systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crtYour_Server.Your_Domain.com_rootca.crt é o nome do certificado na pasta Certenroll que você observou na etapa 3.

  5. Na saída do último comando, próximo ao final, você verá uma linha semelhante à seguinte:
    Key Id Hash(sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
    Os dados de Hash da ID de Chave são específicos para o computador. Anote esta linha.

  6. Digite o seguinte comando, incluindo as aspas, e pressione ENTER:
    %systemroot%\system32\certutil -repairstore my "Key_Id_Hash_Data"

    Neste comando, Key_Id_Hash_Data é a linha que você anotou na etapa 4. Por exemplo, digite o seguinte:
    %systemroot%\system32\certutil -repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"

    Em seguida, você receberá a seguinte saída:

    CertUtil: -repairstore comando concluído com êxito.

  7. Para verificar os certificados, digite o seguinte e pressione ENTER:
    %systemroot%\system32\certutil -verifykeys Depois que esse comando for executado, você receberá a seguinte saída:

    CertUtil: comando -verifykeys concluído com êxito.

Etapa 5: iniciar o serviço de Serviços de Certificado

  1. Selecione Iniciar, aponte para Ferramentas Administrativas e selecione Serviços.
  2. Clique com o botão direito do mouse em Serviços de Certificado e selecione Iniciar.

Método 2: Windows 2000

Para resolve esse problema em um computador baseado no Windows 2000, siga estas etapas.

Etapa 1: procurando certificados ausentes

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações, consulte Como fazer backup e restaurar o registro no Windows.

As impressões digitais do certificado indicam todos os certificados emitidos para essa AC. Sempre que um certificado é renovado, uma nova impressão digital de certificado é adicionada à lista CaCertHash no registro. O número de entradas nesta lista deve ser igual ao número de certificados emitidos para a AC e listados no repositório de certificados pessoal do computador local.

Para procurar certificados ausentes, siga estas etapas:

  1. Selecione Iniciar, selecione Executar, digite regedit e selecione OK.

  2. Localize e selecione a seguinte subchave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name*

  3. No painel direito, clique duas vezes em CaCertHash.

  4. Anote o número de impressões digitais de certificado que a lista de dados de valor contém.

  5. Iniciar prompt de comando.

  6. Digite o seguinte e pressione ENTER: certutil -store

Compare o número de certificados listados no repositório de certificados pessoal do computador local com o número de impressões digitais de certificado listadas na entrada do registro CaCertHash. Se os números forem diferentes, vá para a Etapa 2: importar os certificados ausentes. Se os números forem os mesmos, vá para a Etapa 3: Instale o Pacote de Ferramentas de Administração do Windows Server 2003.

Etapa 2: Importação dos certificados ausentes

  1. Selecione Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e selecione Certificados.

    Se Certificados não aparecerem na lista, siga estas etapas:

    1. Selecione Iniciar, selecione Executar, digite mmc e, em seguida, selecione OK.
    2. No menu Console , selecione Adicionar/Remover Snap-in.
    3. Selecione Adicionar.
    4. Na lista Snap-in , selecione Certificados e, em seguida, selecione Adicionar.

    Se a caixa de diálogo Snap-in Certificados for exibida, selecione Minha conta de usuário e selecione Concluir. 5. Selecione Fechar. 6. Selecione OK. 7. O diretório Certificados agora é adicionado ao MMC (Console de Gerenciamento da Microsoft). 8. No menu Console , selecione Salvar como, digite Certificados como o nome do arquivo e selecione Salvar.

    Para abrir certificados no futuro, selecione Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e selecione Certificados.

  2. Expanda Certificados, expanda Certificados pessoais, clique com o botão direito do mouse em Certificados, aponte para Todas as Tarefas e selecione Importar.

  3. Na página Bem-vindo, selecione Avançar.

  4. Na página Arquivo para Importar , digite o caminho completo do arquivo de certificado que você deseja importar na caixa Nome do arquivo e selecione Avançar. Em vez disso, selecione Procurar, pesquise o arquivo e selecione Avançar.

  5. Se o arquivo que você deseja importar for um Exchange de Informações Pessoais – PKCS #12 (*. PFX), você será solicitado para obter a senha. Digite a senha e selecione Avançar.

  6. Na página Repositório de Certificados , selecione Avançar.

  7. Na página Concluir o Assistente de Importação de Certificado , selecione Concluir.

Observação

A AC sempre publica seus certificados de AC na %systemroot%\System32\CertSvc\CertEnroll pasta. Você pode encontrar os certificados ausentes nessa pasta.

Etapa 3: instalar as ferramentas do Windows Server 2003 Certutil

Depois de importar os certificados, você deve usar as Ferramentas de Certificado de CA do Windows Server 2003 para reparar o link entre os certificados importados e o repositório de chaves privadas associado.

As versões do Windows Server 2003 de Certutil.exe e Certreq.exe estão incluídas no Pacote de Ferramentas de Administração do Windows Server 2003. Para instalar as ferramentas em um computador baseado no Windows 2000, primeiro você deve instalar o Pacote de Ferramentas de Administração do Windows Server 2003 em um computador que está executando o Windows Server 2003 ou o Microsoft Windows XP com o Service Pack 1 (SP1) ou com um pacote de serviço posterior. O Pacote de Ferramentas de Administração do Windows Server 2003 não pode ser instalado diretamente em um computador baseado no Windows 2000.

Importante

Depois de copiar as Ferramentas de Certificado de CA do Windows Server 2003 para o computador baseado no Windows 2000, duas versões da ferramenta Certutil residirão no computador baseado no Windows 2000. Não remova a ferramenta Certutil do Windows 2000. Outros programas dependem da versão do Windows 2000 dessa ferramenta. Por exemplo, o snap-in do MMC de Certificados requer a ferramenta Certutil do Windows 2000. Além disso, não registre os arquivos Certcli.dll e Certadm.dll do Windows Server 2003 no computador baseado no Windows 2000.

Para usar as Ferramentas de Certificado de CA do Windows Server 2003 em um computador baseado no Windows 2000, siga estas etapas:

  1. Baixar o Pacote de Ferramentas de Administração do Windows Server 2003

  2. Entre em um computador que está executando o Windows Server 2003 ou Windows XP com SP1 ou com um service pack posterior.

  3. Instale o Pacote de Ferramentas de Administração do Windows Server 2003.

  4. No Pacote de Ferramentas de Administração do Windows Server 2003, localize os seguintes arquivos e copie-os para um meio de armazenamento removível, como um disco de 3,5 polegadas:
    Certreq.exe
    Certutil.exe
    Certcli.dll
    Certadm.dll

  5. Entre no computador baseado no Windows 2000 como administrador.

  6. Insira o meio de armazenamento removível que você usou na etapa 4 na unidade apropriada do computador baseado no Windows 2000.

  7. Iniciar prompt de comando.

  8. Faça uma nova pasta e copie os arquivos no meio de armazenamento removível para a nova pasta. Para fazer isso, digite os seguintes comandos e pressione ENTER após cada comando:
    Cd\
    md W2k3tool
    cd w2k3tool
    copiar Removable_Media_Drive_Letter:\cert*

    Observação

    Para evitar conflitos com as versões do Windows 2000 da ferramenta Certutil que já está no computador, não inclua a pasta W2k3tool no caminho de pesquisa do sistema.

Depois de copiar os arquivos do Windows Server 2003 CA Certificate Tools para o computador baseado no Windows 2000, siga estas etapas:

  1. Iniciar prompt de comando.

  2. Digite o seguinte e pressione ENTER:
    cd %systemroot\system32\certsrv\certenroll

  3. Anote o certificado na pasta Certenroll que se parece com o seguinte:
    Your_Server.Your_Domain.com_rootca.crt

  4. Digite os seguintes comandos e pressione ENTER após cada comando:
    Root_Drive_Letter:\w2k3tool\certutil -addstore my %systemroot%\system32\certsrv\certenroll\ Your_Server.Your_Domain.com_rootca.crt
    Root_Drive_Letter:\w2k3tool\certutil -dump %systemroot%\system32\certsrv\certenroll\ Your_Server.Your_Domain.com_rootca.crt

    Root_Drive_Letter é a letra do diretório raiz.

    Your_Server.Your_Domain.com_rootca.crt é o nome do certificado na pasta Certenroll que você observou na etapa 3.

  5. Na saída do último comando, próximo ao final, você verá uma linha semelhante à seguinte: Key Id Hash(sha1): ea c7 7d 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
    Os dados de Hash da ID de Chave são específicos para o computador. Anote esta linha.

  6. Digite o seguinte comando, incluindo as aspas e pressione ENTER:
    Root_Drive_Letter:\w2k3tool\certutil -repairstore my "Key_Id_Hash_Data"
    Neste comando, Key_Id_Hash_Data é a linha que você anotou na etapa 5. Por exemplo, digite o seguinte:
    c:\w2k3tool\certutil -repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"

    Depois de concluir este comando, você receberá a seguinte saída:

    CertUtil: -repairstore comando concluído com êxito.

  7. Para verificar os certificados, digite o seguinte comando e pressione ENTER:
    Root_Drive_Letter:\w2k3tool\certutil -verifykeys

    Depois que esse comando for executado, você receberá a seguinte saída:

    CertUtil: comando -verifykeys concluído com êxito.

Etapa 5: Iniciar o serviço de Serviços de Certificado

  1. Selecione Iniciar, aponte para Ferramentas Administrativas e selecione Serviços.
  2. Clique com o botão direito do mouse em Serviços de Certificado e selecione Iniciar.

Mais informações

Você deve desativar e substituir a AC se uma das seguintes condições for verdadeira:

  • Não é possível localizar os certificados ausentes.

  • Os certificados não podem ser reinstalados.

  • O certutil -repairstore comando não pode ser concluído porque as chaves privadas foram removidas. Para desativar e substituir a AC, siga estas etapas:

    1. Revogue os certificados da AC que pararam de funcionar corretamente. Para fazer isso, siga estas etapas:

      1. Entre como administrador do computador que emitiu os certificados que você deseja revogar.
      2. Selecione Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e selecione Autoridade de Certificação.
      3. Expanda CA_Name e selecione Certificados Emitidos.
      4. No painel direito, selecione o certificado que você deseja revogar.
      5. No menu Ação , aponte para Todas as Tarefas e selecione Revogar Certificado.
      6. Na lista De código Motivo , selecione o motivo para revogar o certificado e selecione Sim.

      Isso revogará todos os certificados emitidos pela AC que pararam de funcionar corretamente.

    2. Publique a CRL (lista de revogação de certificados) na próxima CA mais alta. Para fazer isso, siga estas etapas:

      1. Entre como administrador do computador que está executando a próxima CA mais alta.
      2. Selecione Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e selecione Autoridade de Certificação.
      3. Expanda CA_Name e selecione Certificados Revogados.
      4. No menu Ação , aponte para Todas as Tarefas e selecione Publicar.
      5. Selecione Sim para substituir o CRL publicado anteriormente.

    3. Se a AC que parou de funcionar corretamente tiver sido publicada nos serviços de diretório do Active Directory, remova-a. Para remover a AC do Active Directory, siga estas etapas:

      1. Iniciar prompt de comando.
      2. Digite o seguinte e pressione ENTER:
        certutil -dsdel CA_Name

    4. Remova os Serviços de Certificado do servidor em que a AC parou de funcionar corretamente. Para fazer isso, siga estas etapas:

      1. Selecione Iniciar, aponte para Configurações e selecione Painel de Controle.
      2. Clique duas vezes em Adicionar/Remover Programas e selecione Adicionar/Remover Componentes do Windows.
      3. Na lista Componentes, clique para limpar a caixa Serviços de Certificados marcar, selecione Avançar e, em seguida, selecione Concluir.

    5. Instale os Serviços de Certificado. Para fazer isso, siga estas etapas:

      1. Selecione Adicionar/Remover Componentes do Windows.
      2. Na lista Componentes, selecione para selecionar a caixa Serviços de Certificado marcar, selecione Avançar e, em seguida, selecione Concluir.

    6. Todos os usuários, computadores ou serviços com certificados emitidos pela AC que pararam de funcionar corretamente devem registrar certificados da nova AC.

Observação

Se esse problema ocorrer na AC Raiz da hierarquia PKI (infraestrutura de chave pública) e se o problema não puder ser reparado, você terá que substituir toda a hierarquia PKI. Para obter mais informações sobre como remover a hierarquia PKI, consulte Como desativar uma autoridade de certificação corporativa do Windows e remover todos os objetos relacionados.