[Troubleshooting] – Problemas com Certificados Raiz no Windows

25 de maio de 2012
Windows
6 Comentários

Avatar for CooperaTI CooperaTI

Salve, salve, pessoal, essa semana me deparei com um problema bem estranho na importação de certificados raizes, vou contar um pouco a história e a resolução do problema.

Precisei importar um certificado raiz que uma aplicação de um fornecedor necessitava para executar em um servidor da empresa, quando me deparei com a seguinte mensagem de erro ao importar o certificado para a pasta Autoridades de Certificação Raiz Confiaveis pelo MMC: “A importação falhou porque o armazenamento era somente leitura, estava cheio ou não foi aberto corretamente” como mostra a figura abaixo:

 

Percebi também que a pasta também estava vazia.

Então fui ver se existia algum erro no event viewer e me deparei com o erro “Falha ao extrair lista de raizes de terceiros do cab de atualização automática” como mostra a figura abaixo:

 

Pesquisando, verifiquei que os problemas estavam ligados e vi que várias pessoas pediam para desabilitar a opção “Atualizar certificados Raiz” dentro de Adicionar/remover componentes do Windows no Adicionar e Remover Programas no Painel de controle, como mostra a imagem a seguir:

Porém sem sucesso, foi quando descobri também, que por causa desse erro TODOS os sites ou aplicações que necessitavam de autenticação SSL não funcionavam, pois o Windows dizia que não existia certificados raizes confiaveis instalados, então teria que reparar todo o meu diretorio de certificados, e depois de muito tentar eu consegui e posto a solução abaixo:

1º – Abra o snap-in de certificados pelo MMC

2º – Clique com o botão direito em cima da pasta “Autoridades de Certificação Raiz Confiaveis” e clique em Todas as Tarefas > Importar

3º – Clique em Avançar

4º – Clique em Procurar e selecione o Certificado Raiz que quer importar e depois clique em Avançar

5º – Selecione a opção “Colocar todos os certificados no armazenamento a seguir” e clique em procurar:

6º – Na janela clique em “Mostrar armazenamentos físicos” e selecione: Autoridades de certificação raiz confiáveis > Computador Local e selecione OK.

 7º – Voltará para a tela do numero 6 e clique em avançar e depois em concluir.
Após esses procedimentos o certificado tornará-se válido novamente.
Espero que ajude quem tiver esse problema bem chato, pois não tem documentação dele em português, tem alguma em inglês.
PS:  As telas são do Windows Server 2003 porém os procedimentos valem também para o Windows Server 2008.

Share
MORE

    Comments

    1. Avatar for CooperaTI Bruno Cruz : 25 de maio de 2012 at 12:46 pm

      Laerte Costa ,
      Estou fazendo um LAB de RDS e tentando configurar um certificado para Remote Web App e aceso área de trabalho remota. Faço a instalação da CA no Windows 2008 R2, configuro a raiz, porém quando acesso configuração do Remote Web App para selecionar o certificado o mesmo não aparece na lista , o certificado que aparece é o inválido que foi instalado junto com o Windows. Teu post pode me ajudar nesse sentido?

      Responder
      • Avatar for CooperaTI Laerte Costa : 25 de maio de 2012 at 1:23 pm

        Bruno, deixa eu ver se entendi, você configurou o RDS e gerou um novo certificado para ele correto? Ou você não fez isso? Porque o que acontece, ao você criar uma CA ele gera um certificado client automático que, realmente, o windows detecta que ele é inválido, pois o certificado da CA não está na lista de certificados raizes confiaveis no servidor, o que você pode fazer é extrair o certificado para um arquivo .cer e depois seguir esse tutorial e colocá-lo na pasta “Autoridade de certificação Raiz Confiaveis” ai ele vai dizer que o certificado é válido 😉
        PS: Se você não gerou um certificado novo, ele realmente pega o criado pelo Windows 😉 Espero ter tirado a sua dúvida.
        PS2: Por você ter um certificado criado pela sua própria CA, nos clientes o processo tem que ser o mesmo, tem que colocar o certificado na pasta citada acima 😉

        Responder
    2. Avatar for CooperaTI Bruno Cruz : 25 de maio de 2012 at 1:34 pm

      Instalar e CA e gerar o certificao são procedimento diferentes? Quando vou na configuração do Remote Web App o que ele mostra é o certificado inválido para seleção e não o que eu acredito ter instalado ( falo assim , pois não tenho dominio total do que estou tentando fazer ).
      Abraços!

      Responder
      • Avatar for CooperaTI Laerte Costa : 25 de maio de 2012 at 5:02 pm

        Bruno, sim, são procedimentos diferentes, quando você instala o certificado que ele vem é um “pré-fabricado” pela CA, porém como disse ele não é considerado “válido”, para fazer isso, como disse, você terá que colocá-lo na pasta de Raiz Confiavéis. Pois se você quiser gerar um novo certificado e importar ele o processo é diferente.Segue algumas dicas do site da MS: http://technet.microsoft.com/pt-br/library/cc754499.aspx
        Qualquer coisa estamos ai.

        Responder
    3. Avatar for CooperaTI Bruno Cruz : 25 de maio de 2012 at 10:05 pm

      Laerte Costa ,
      Valeu meu amigo!! Abraços a todos do Portal.

      Responder

    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    © 2019 All Rights Reserved. Cooperati.