[Troubleshooting] – Problemas com Certificados Raiz no Windows
Salve, salve, pessoal, essa semana me deparei com um problema bem estranho na importação de certificados raizes, vou contar um pouco a história e a resolução do problema.
Precisei importar um certificado raiz que uma aplicação de um fornecedor necessitava para executar em um servidor da empresa, quando me deparei com a seguinte mensagem de erro ao importar o certificado para a pasta Autoridades de Certificação Raiz Confiaveis pelo MMC: “A importação falhou porque o armazenamento era somente leitura, estava cheio ou não foi aberto corretamente” como mostra a figura abaixo:
Percebi também que a pasta também estava vazia.
Então fui ver se existia algum erro no event viewer e me deparei com o erro “Falha ao extrair lista de raizes de terceiros do cab de atualização automática” como mostra a figura abaixo:
Pesquisando, verifiquei que os problemas estavam ligados e vi que várias pessoas pediam para desabilitar a opção “Atualizar certificados Raiz” dentro de Adicionar/remover componentes do Windows no Adicionar e Remover Programas no Painel de controle, como mostra a imagem a seguir:
Porém sem sucesso, foi quando descobri também, que por causa desse erro TODOS os sites ou aplicações que necessitavam de autenticação SSL não funcionavam, pois o Windows dizia que não existia certificados raizes confiaveis instalados, então teria que reparar todo o meu diretorio de certificados, e depois de muito tentar eu consegui e posto a solução abaixo:
1º – Abra o snap-in de certificados pelo MMC
2º – Clique com o botão direito em cima da pasta “Autoridades de Certificação Raiz Confiaveis” e clique em Todas as Tarefas > Importar
3º – Clique em Avançar
4º – Clique em Procurar e selecione o Certificado Raiz que quer importar e depois clique em Avançar
5º – Selecione a opção “Colocar todos os certificados no armazenamento a seguir” e clique em procurar:
6º – Na janela clique em “Mostrar armazenamentos físicos” e selecione: Autoridades de certificação raiz confiáveis > Computador Local e selecione OK.
7º – Voltará para a tela do numero 6 e clique em avançar e depois em concluir.
Após esses procedimentos o certificado tornará-se válido novamente.
Espero que ajude quem tiver esse problema bem chato, pois não tem documentação dele em português, tem alguma em inglês.
PS: As telas são do Windows Server 2003 porém os procedimentos valem também para o Windows Server 2008.
Administrador e coordenador do site!
Laerte Costa ,
Estou fazendo um LAB de RDS e tentando configurar um certificado para Remote Web App e aceso área de trabalho remota. Faço a instalação da CA no Windows 2008 R2, configuro a raiz, porém quando acesso configuração do Remote Web App para selecionar o certificado o mesmo não aparece na lista , o certificado que aparece é o inválido que foi instalado junto com o Windows. Teu post pode me ajudar nesse sentido?
Bruno, deixa eu ver se entendi, você configurou o RDS e gerou um novo certificado para ele correto? Ou você não fez isso? Porque o que acontece, ao você criar uma CA ele gera um certificado client automático que, realmente, o windows detecta que ele é inválido, pois o certificado da CA não está na lista de certificados raizes confiaveis no servidor, o que você pode fazer é extrair o certificado para um arquivo .cer e depois seguir esse tutorial e colocá-lo na pasta “Autoridade de certificação Raiz Confiaveis” ai ele vai dizer que o certificado é válido 😉
PS: Se você não gerou um certificado novo, ele realmente pega o criado pelo Windows 😉 Espero ter tirado a sua dúvida.
PS2: Por você ter um certificado criado pela sua própria CA, nos clientes o processo tem que ser o mesmo, tem que colocar o certificado na pasta citada acima 😉
Instalar e CA e gerar o certificao são procedimento diferentes? Quando vou na configuração do Remote Web App o que ele mostra é o certificado inválido para seleção e não o que eu acredito ter instalado ( falo assim , pois não tenho dominio total do que estou tentando fazer ).
Abraços!
Bruno, sim, são procedimentos diferentes, quando você instala o certificado que ele vem é um “pré-fabricado” pela CA, porém como disse ele não é considerado “válido”, para fazer isso, como disse, você terá que colocá-lo na pasta de Raiz Confiavéis. Pois se você quiser gerar um novo certificado e importar ele o processo é diferente.Segue algumas dicas do site da MS: http://technet.microsoft.com/pt-br/library/cc754499.aspx
Qualquer coisa estamos ai.
Laerte Costa ,
Valeu meu amigo!! Abraços a todos do Portal.
Sem problemas, precisando estamos ai 😉