Os Serviços de Certificado não podem começar em um computador que está executando o Windows Server 2003 ou Windows 2000
Este artigo fornece uma solução para um problema em que o CS (Certificate Services) pode não começar em um computador que está executando o Windows Server 2003 ou Windows 2000.
Aplica-se a: Windows 10 — todas as edições, Windows Server 2012 R2
Número original do KB: 842210
Sintomas
Em um computador que está executando o Microsoft Windows Server 2003 ou o Microsoft Windows 2000 Server, os Serviços de Certificado podem não iniciar.
Além disso, a mensagem de erro a seguir pode ser registrada no log do aplicativo no Visualizador de Eventos.
Motivo
Antes do início dos Serviços de Certificado, ele enumera todas as chaves e certificados emitidos para a autoridade de certificação (AC), mesmo que as chaves e os certificados tenham expirado. Os Serviços de Certificado não serão iniciados se algum desses certificados tiver sido removido do repositório de certificados pessoal do computador local.
Resolução
Para resolve esse problema, verifique se o número de impressões digitais de certificado no registro é igual ao número de certificados emitidos para a AC. Se algum certificado estiver ausente, importe os certificados ausentes para o repositório de certificados pessoal do computador local. Depois de importar os certificados ausentes, use o certutil -repairstore
comando para reparar o link entre os certificados importados e o repositório de chaves privadas associado.
Para fazer isso, use um dos seguintes métodos, dependendo de qual versão do sistema operacional seu computador está em execução.
Método 1: Windows Server 2003
Para resolve esse problema em um computador baseado no Windows Server 2003, siga estas etapas.
Etapa 1: procure certificados ausentes
Importante
Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações, consulte Como fazer backup e restaurar o registro no Windows.
As impressões digitais do certificado indicam todos os certificados emitidos para essa AC. Sempre que um certificado é renovado, uma nova impressão digital de certificado é adicionada à lista CaCertHash no registro. O número de entradas nesta lista deve ser igual ao número de certificados emitidos para a AC e listados no repositório de certificados pessoal do computador local.
Para procurar certificados ausentes, siga estas etapas:
Selecione Iniciar, selecione Executar, digite regedit e selecione OK.
Localize e selecione a seguinte subchave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name
*No painel direito, clique duas vezes em CaCertHash.
Anote o número de impressões digitais de certificado que a lista de dados de valor contém.
Iniciar prompt de comando.
Digite o seguinte comando e pressione ENTER:
certutil -store
Compare o número de certificados listados no repositório de certificados pessoal do computador local com o número de impressões digitais de certificado listadas na entrada do registro CaCertHash. Se os números forem diferentes, vá para a Etapa 2: importar os certificados ausentes. Se os números forem os mesmos, vá para a Etapa 3: Instale o Pacote de Ferramentas de Administração do Windows Server 2003.
Etapa 2: importar os certificados ausentes
Selecione Iniciar, aponte para Todos os Programas, aponte para Ferramentas Administrativas e selecione Certificados.
Se Certificados não aparecerem na lista, siga estas etapas:
Selecione Iniciar, selecione Executar, digite mmc e, em seguida, selecione OK.
No menu Arquivo, clique em Adicionar/Remover Snap-in.
Selecione Adicionar.
Na lista Snap-in , selecione Certificados e, em seguida, selecione Adicionar.
Se a caixa de diálogo Snap-in Certificados for exibida, selecione Minha conta de usuário e selecione Concluir.
Selecione Fechar e, em seguida, selecione OK.
O diretório Certificados agora é adicionado ao MMC (Console de Gerenciamento da Microsoft).
No menu Arquivo , selecione Salvar como, digite Certificados na caixa Nome do arquivo e selecione Salvar.
Para abrir certificados no futuro, selecione Iniciar, aponte para Todos os Programas, aponte para Ferramentas Administrativas e selecione Certificados.
Expanda Certificados, expanda Certificados pessoais, clique com o botão direito do mouse em Certificados, aponte para Todas as Tarefas e selecione Importar.
Na página Bem-vindo, selecione Avançar.
Na página Arquivo para Importar , digite o caminho completo do arquivo de certificado que você deseja importar na caixa Nome do arquivo e selecione Avançar. Em vez disso, selecione Procurar, pesquise o arquivo e selecione Avançar.
Se o arquivo que você deseja importar for um Exchange de Informações Pessoais – PKCS #12 (*. Arquivo PFX), você será solicitado para a senha. Digite a senha e selecione Avançar.
Na página Repositório de Certificados , selecione Avançar.
Na página Concluir o Assistente de Importação de Certificado , selecione Concluir.
Observação
A AC sempre publica seus certificados de AC na %systemroot%\System32\CertSvc\CertEnroll
pasta. Você pode encontrar os certificados ausentes nessa pasta.
Etapa 3: instalar o Pacote de Ferramentas de Administração do Windows Server 2003
Depois de importar os certificados, você deve usar a ferramenta Certutil para reparar o link entre os certificados importados e o repositório de chaves privadas associado. A ferramenta Certutil está incluída nas Ferramentas de Certificado de AC. As Ferramentas de Certificado do Windows Server 2003 CA estão localizadas no Pacote de Ferramentas de Administração do Windows Server 2003. Se as Ferramentas de Certificado de AC não estiverem instaladas no computador, instale-as agora.
Etapa 4: reparar os links
Depois de instalar o Pacote de Ferramentas de Administração do Windows Server 2003, siga estas etapas:
Iniciar prompt de comando.
Digite o seguinte e pressione ENTER:
cd %systemroot%\system32\certsrv\certenroll
Anote o certificado na pasta Certenroll que se parece com o seguinte: Your_Server. Your_Domain.com_rootca.crt
Digite os seguintes comandos e pressione ENTER após cada comando:
%systemroot%\system32\certutil -addstore my %systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crt
%systemroot%\System32\certutil -dump %systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crt
Your_Server.Your_Domain.com_rootca.crt é o nome do certificado na pasta Certenroll que você observou na etapa 3.Na saída do último comando, próximo ao final, você verá uma linha semelhante à seguinte:
Key Id Hash(sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
Os dados de Hash da ID de Chave são específicos para o computador. Anote esta linha.Digite o seguinte comando, incluindo as aspas, e pressione ENTER:
%systemroot%\system32\certutil -repairstore my "Key_Id_Hash_Data"Neste comando,
Key_Id_Hash_Data
é a linha que você anotou na etapa 4. Por exemplo, digite o seguinte:
%systemroot%\system32\certutil -repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"Em seguida, você receberá a seguinte saída:
CertUtil: -repairstore comando concluído com êxito.
Para verificar os certificados, digite o seguinte e pressione ENTER:
%systemroot%\system32\certutil -verifykeys
Depois que esse comando for executado, você receberá a seguinte saída:CertUtil: comando -verifykeys concluído com êxito.
Etapa 5: iniciar o serviço de Serviços de Certificado
- Selecione Iniciar, aponte para Ferramentas Administrativas e selecione Serviços.
- Clique com o botão direito do mouse em Serviços de Certificado e selecione Iniciar.
Método 2: Windows 2000
Para resolve esse problema em um computador baseado no Windows 2000, siga estas etapas.
Etapa 1: procurando certificados ausentes
Importante
Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações, consulte Como fazer backup e restaurar o registro no Windows.
As impressões digitais do certificado indicam todos os certificados emitidos para essa AC. Sempre que um certificado é renovado, uma nova impressão digital de certificado é adicionada à lista CaCertHash no registro. O número de entradas nesta lista deve ser igual ao número de certificados emitidos para a AC e listados no repositório de certificados pessoal do computador local.
Para procurar certificados ausentes, siga estas etapas:
Selecione Iniciar, selecione Executar, digite regedit e selecione OK.
Localize e selecione a seguinte subchave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name
*No painel direito, clique duas vezes em CaCertHash.
Anote o número de impressões digitais de certificado que a lista de dados de valor contém.
Iniciar prompt de comando.
Digite o seguinte e pressione ENTER:
certutil -store
Compare o número de certificados listados no repositório de certificados pessoal do computador local com o número de impressões digitais de certificado listadas na entrada do registro CaCertHash. Se os números forem diferentes, vá para a Etapa 2: importar os certificados ausentes. Se os números forem os mesmos, vá para a Etapa 3: Instale o Pacote de Ferramentas de Administração do Windows Server 2003.
Etapa 2: Importação dos certificados ausentes
Selecione Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e selecione Certificados.
Se Certificados não aparecerem na lista, siga estas etapas:
- Selecione Iniciar, selecione Executar, digite mmc e, em seguida, selecione OK.
- No menu Console , selecione Adicionar/Remover Snap-in.
- Selecione Adicionar.
- Na lista Snap-in , selecione Certificados e, em seguida, selecione Adicionar.
Se a caixa de diálogo Snap-in Certificados for exibida, selecione Minha conta de usuário e selecione Concluir. 5. Selecione Fechar. 6. Selecione OK. 7. O diretório Certificados agora é adicionado ao MMC (Console de Gerenciamento da Microsoft). 8. No menu Console , selecione Salvar como, digite Certificados como o nome do arquivo e selecione Salvar.
Para abrir certificados no futuro, selecione Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e selecione Certificados.
Expanda Certificados, expanda Certificados pessoais, clique com o botão direito do mouse em Certificados, aponte para Todas as Tarefas e selecione Importar.
Na página Bem-vindo, selecione Avançar.
Na página Arquivo para Importar , digite o caminho completo do arquivo de certificado que você deseja importar na caixa Nome do arquivo e selecione Avançar. Em vez disso, selecione Procurar, pesquise o arquivo e selecione Avançar.
Se o arquivo que você deseja importar for um Exchange de Informações Pessoais – PKCS #12 (*. PFX), você será solicitado para obter a senha. Digite a senha e selecione Avançar.
Na página Repositório de Certificados , selecione Avançar.
Na página Concluir o Assistente de Importação de Certificado , selecione Concluir.
Observação
A AC sempre publica seus certificados de AC na %systemroot%\System32\CertSvc\CertEnroll
pasta. Você pode encontrar os certificados ausentes nessa pasta.
Etapa 3: instalar as ferramentas do Windows Server 2003 Certutil
Depois de importar os certificados, você deve usar as Ferramentas de Certificado de CA do Windows Server 2003 para reparar o link entre os certificados importados e o repositório de chaves privadas associado.
As versões do Windows Server 2003 de Certutil.exe e Certreq.exe estão incluídas no Pacote de Ferramentas de Administração do Windows Server 2003. Para instalar as ferramentas em um computador baseado no Windows 2000, primeiro você deve instalar o Pacote de Ferramentas de Administração do Windows Server 2003 em um computador que está executando o Windows Server 2003 ou o Microsoft Windows XP com o Service Pack 1 (SP1) ou com um pacote de serviço posterior. O Pacote de Ferramentas de Administração do Windows Server 2003 não pode ser instalado diretamente em um computador baseado no Windows 2000.
Importante
Depois de copiar as Ferramentas de Certificado de CA do Windows Server 2003 para o computador baseado no Windows 2000, duas versões da ferramenta Certutil residirão no computador baseado no Windows 2000. Não remova a ferramenta Certutil do Windows 2000. Outros programas dependem da versão do Windows 2000 dessa ferramenta. Por exemplo, o snap-in do MMC de Certificados requer a ferramenta Certutil do Windows 2000. Além disso, não registre os arquivos Certcli.dll e Certadm.dll do Windows Server 2003 no computador baseado no Windows 2000.
Para usar as Ferramentas de Certificado de CA do Windows Server 2003 em um computador baseado no Windows 2000, siga estas etapas:
Baixar o Pacote de Ferramentas de Administração do Windows Server 2003
Entre em um computador que está executando o Windows Server 2003 ou Windows XP com SP1 ou com um service pack posterior.
Instale o Pacote de Ferramentas de Administração do Windows Server 2003.
No Pacote de Ferramentas de Administração do Windows Server 2003, localize os seguintes arquivos e copie-os para um meio de armazenamento removível, como um disco de 3,5 polegadas:
Certreq.exe
Certutil.exe
Certcli.dll
Certadm.dllEntre no computador baseado no Windows 2000 como administrador.
Insira o meio de armazenamento removível que você usou na etapa 4 na unidade apropriada do computador baseado no Windows 2000.
Iniciar prompt de comando.
Faça uma nova pasta e copie os arquivos no meio de armazenamento removível para a nova pasta. Para fazer isso, digite os seguintes comandos e pressione ENTER após cada comando:
Cd\
md W2k3tool
cd w2k3tool
copiar Removable_Media_Drive_Letter:\cert*Observação
Para evitar conflitos com as versões do Windows 2000 da ferramenta Certutil que já está no computador, não inclua a pasta W2k3tool no caminho de pesquisa do sistema.
Etapa 4: Reparar os links
Depois de copiar os arquivos do Windows Server 2003 CA Certificate Tools para o computador baseado no Windows 2000, siga estas etapas:
Iniciar prompt de comando.
Digite o seguinte e pressione ENTER:
cd %systemroot\system32\certsrv\certenroll
Anote o certificado na pasta Certenroll que se parece com o seguinte:
Your_Server.Your_Domain.com_rootca.crtDigite os seguintes comandos e pressione ENTER após cada comando:
Root_Drive_Letter:\w2k3tool\certutil -addstore my %systemroot%\system32\certsrv\certenroll\ Your_Server.Your_Domain.com_rootca.crt
Root_Drive_Letter:\w2k3tool\certutil -dump %systemroot%\system32\certsrv\certenroll\ Your_Server.Your_Domain.com_rootca.crtRoot_Drive_Letter é a letra do diretório raiz.
Your_Server.Your_Domain.com_rootca.crt é o nome do certificado na pasta Certenroll que você observou na etapa 3.
Na saída do último comando, próximo ao final, você verá uma linha semelhante à seguinte: Key Id Hash(sha1): ea c7 7d 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
Os dados de Hash da ID de Chave são específicos para o computador. Anote esta linha.Digite o seguinte comando, incluindo as aspas e pressione ENTER:
Root_Drive_Letter:\w2k3tool\certutil -repairstore my "Key_Id_Hash_Data"
Neste comando,Key_Id_Hash_Data
é a linha que você anotou na etapa 5. Por exemplo, digite o seguinte:
c:\w2k3tool\certutil -repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"Depois de concluir este comando, você receberá a seguinte saída:
CertUtil: -repairstore comando concluído com êxito.
Para verificar os certificados, digite o seguinte comando e pressione ENTER:
Root_Drive_Letter:\w2k3tool\certutil -verifykeysDepois que esse comando for executado, você receberá a seguinte saída:
CertUtil: comando -verifykeys concluído com êxito.
Etapa 5: Iniciar o serviço de Serviços de Certificado
- Selecione Iniciar, aponte para Ferramentas Administrativas e selecione Serviços.
- Clique com o botão direito do mouse em Serviços de Certificado e selecione Iniciar.
Mais informações
Você deve desativar e substituir a AC se uma das seguintes condições for verdadeira:
Não é possível localizar os certificados ausentes.
Os certificados não podem ser reinstalados.
O
certutil -repairstore
comando não pode ser concluído porque as chaves privadas foram removidas. Para desativar e substituir a AC, siga estas etapas:Revogue os certificados da AC que pararam de funcionar corretamente. Para fazer isso, siga estas etapas:
- Entre como administrador do computador que emitiu os certificados que você deseja revogar.
- Selecione Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e selecione Autoridade de Certificação.
- Expanda CA_Name e selecione Certificados Emitidos.
- No painel direito, selecione o certificado que você deseja revogar.
- No menu Ação , aponte para Todas as Tarefas e selecione Revogar Certificado.
- Na lista De código Motivo , selecione o motivo para revogar o certificado e selecione Sim.
Isso revogará todos os certificados emitidos pela AC que pararam de funcionar corretamente.
Publique a CRL (lista de revogação de certificados) na próxima CA mais alta. Para fazer isso, siga estas etapas:
- Entre como administrador do computador que está executando a próxima CA mais alta.
- Selecione Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e selecione Autoridade de Certificação.
- Expanda CA_Name e selecione Certificados Revogados.
- No menu Ação , aponte para Todas as Tarefas e selecione Publicar.
- Selecione Sim para substituir o CRL publicado anteriormente.
Se a AC que parou de funcionar corretamente tiver sido publicada nos serviços de diretório do Active Directory, remova-a. Para remover a AC do Active Directory, siga estas etapas:
- Iniciar prompt de comando.
- Digite o seguinte e pressione ENTER:
certutil -dsdel CA_Name
Remova os Serviços de Certificado do servidor em que a AC parou de funcionar corretamente. Para fazer isso, siga estas etapas:
- Selecione Iniciar, aponte para Configurações e selecione Painel de Controle.
- Clique duas vezes em Adicionar/Remover Programas e selecione Adicionar/Remover Componentes do Windows.
- Na lista Componentes, clique para limpar a caixa Serviços de Certificados marcar, selecione Avançar e, em seguida, selecione Concluir.
Instale os Serviços de Certificado. Para fazer isso, siga estas etapas:
- Selecione Adicionar/Remover Componentes do Windows.
- Na lista Componentes, selecione para selecionar a caixa Serviços de Certificado marcar, selecione Avançar e, em seguida, selecione Concluir.
Todos os usuários, computadores ou serviços com certificados emitidos pela AC que pararam de funcionar corretamente devem registrar certificados da nova AC.
Observação
Se esse problema ocorrer na AC Raiz da hierarquia PKI (infraestrutura de chave pública) e se o problema não puder ser reparado, você terá que substituir toda a hierarquia PKI. Para obter mais informações sobre como remover a hierarquia PKI, consulte Como desativar uma autoridade de certificação corporativa do Windows e remover todos os objetos relacionados.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários