locked
Gerar Certificado RRS feed

  • Pergunta

  • Pessoal,

    Estou tentando instalar um certificado, para configurar um site com SSL em um servidor Windows 2003, mas quando tento chamar http://meuservidor/certsrv, me retorna erro 404.
    Assim não consiguo gerar um arquivo valido para fazer a instalação.

    alguém podeira me ajudar por gentileza?
    segunda-feira, 30 de maio de 2011 20:42

Respostas

  • Olá,

     

    Você verificou se a função Serviço de Certificados do Active Directory esta instalado? Verifique também se o Serviço de Registro na Web de Autoridade de Certificação esta instalado no Seu AD CS.

    Verifique também se o IIS esta instalado e configurado, e se o site CERTSRV esta presente no IIS.

    Att,

     

    Lucas Camargo


    Lucas Camargo Reis
    terça-feira, 31 de maio de 2011 13:37

Todas as Respostas

  • Este endereço seria da sua CA interna ?

    http://shahrier.blogspot.com/2008/03/how-to-generate-certificate-from.html

     

     

    segunda-feira, 30 de maio de 2011 20:45
    Moderador
  • Exatamente. Preciso gerar um novo certificado mas não consigo. Quando acesso http://server/certsrv aparece a mensagem

    Service Unavailable.

    O pessoal que estava antes aqui fizeram o AD de laboratório. Estou tentando consertar. O pacote xamp estava instalado e portanto o Apache assumiu como servidor de internet prioritário.


    Como está com problemas de certificado, estamos sem acesso ao webmail fora de nossa rede interna.
    terça-feira, 31 de maio de 2011 11:35
  • Olá,

     

    Você verificou se a função Serviço de Certificados do Active Directory esta instalado? Verifique também se o Serviço de Registro na Web de Autoridade de Certificação esta instalado no Seu AD CS.

    Verifique também se o IIS esta instalado e configurado, e se o site CERTSRV esta presente no IIS.

    Att,

     

    Lucas Camargo


    Lucas Camargo Reis
    terça-feira, 31 de maio de 2011 13:37
  • Valeu Lucas....

     As páginas da Web não estavam instaladas na autoridade de certificação.

     Caso alguém passe pelo mesmo problema fiz o seguinte:

    Executei certutil -vroot a partir do prompt de comando na autoridade de certificação, para instalar as páginas de registro na Web.

    Feito isso, a página http://server/certsrv passou a funcionar. Surgiu outro "problema":

    Sigo os passos que vi em http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?tut=912 mas 1 opção está diferente. Na parte de Submit a certificate Request or Renewal Request onde colamos o que foi gerado pelo exchange shel (New-Exchange...) na opção abaixo "Certificate Template" para mim não aparece a opção Web Server. Somente mostra Basic EFS ou User.

    Isso irá influenciar em alguma coisa? Fiz escolhendo a opção que estava "Basic EFS". Quando vou importar no shell do Exchange me dá o seguinte erro:

     

    Enable-ExchangeCertificate : The certificate with thumbprint BA39D21FD1CEBF78B86A06EAEB605F9EB143F354 was found but is not valid for use with Exchange Server (
    reason: PkixKpServerAuthNotFoundInEnhancedKeyUsage).
    At line:1 char:27
    + Enable-ExchangeCertificate  <<<< -Thumbprint BA39D21FD1CEBF78B86A06EAEB605F9EB143F354 -Services IIS

     

    O que será?


    Dei um comando para exibir os certificados do Exchange:

    Thumbprint                                Services   Subject
    ----------                                --------   -------
    28CE47EBCAB1388980EB88B932FECF8739C17F1B  IP.W.      CN=...
    6D60B129B65EA56B465196F49E880909C2CBF802  IP..S      CN=...
    35605312DCF21781A148F09B50512B919E345CAC  IP..S      CN=...
    57E3A7C119C8EA2DB57C63A2888B39B3EECCD80F  .....      CN=...

    è necessário ter todos esses ou posso removê-los e gerar um novo?

    terça-feira, 31 de maio de 2011 14:07
  • Realmente o Erro é porque a opção WEB SERVER não foi listada para você.

    Estou pesquisando por que não foi listada e te dou um retorno assim que tiver uma noticia.

    Como podemos observar a razão para seu Certificado Digital não ser aceito pelo Exchange foi PkixKpServerAuthNotFoundInEnhancedKeyUsag.



    Lucas Camargo Reis
    terça-feira, 31 de maio de 2011 14:32
  • Lucas,

    dei o comando Get-ExchangeCertificate

    e me retornou isso:

    Thumbprint                                                       Services   Subject
    ----------                                                             --------   -------
    D251AD7D66CE0ED3851180743F234547D4C80141  IP..S      DC=dominio, DC=com, DC=br, CN=serverexchange
    80E0FB5F8E6454DB7D8A3DE1C99927C2759B5E7F  .....      CN=serverexchange, DC=br, DC=com, DC=dominio
    28CE47EBCAB1388980EB88B932FECF8739C17F1B  IP.W.      CN=serverexchange, DC=ecoluz.com.br
    6D60B129B65EA56B465196F49E880909C2CBF802  IP..S      CN=serverexchange
    35605312DCF21781A148F09B50512B919E345CAC  IP..S      CN=serverexchange
    57E3A7C119C8EA2DB57C63A2888B39B3EECCD80F  .....      CN=serverexchange.dominio.com.br, O=Nome da Empresa

    terça-feira, 31 de maio de 2011 14:43
  • da o comando Get-ExchangeCertificate | FL
    terça-feira, 31 de maio de 2011 14:47
  • AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule, System.Security
                         oKeyAccessRule}
    CertificateDomains : {sbrssaexh01}
    HasPrivateKey      : True
    IsSelfSigned       : True
    Issuer             : DC=ecoluz, DC=com, DC=br, CN=sbrssaexh01
    NotAfter           : 31/05/2012 11:28:15
    NotBefore          : 31/05/2011 11:28:15
    PublicKeySize      : 2048
    RootCAType         : None
    SerialNumber       : 845D2C77AFDB8DA54AB4514C765B3D0A
    Services           : IMAP, POP, SMTP
    Status             : Valid
    Subject            : DC=ecoluz, DC=com, DC=br, CN=sbrssaexh01
    Thumbprint         : D251AD7D66CE0ED3851180743F234547D4C80141

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {sbrssaexh01}
    HasPrivateKey      : True
    IsSelfSigned       : True
    Issuer             : CN=sbrssaexh01, DC=br, DC=com, DC=ecoluz
    NotAfter           : 30/05/2012 16:47:05
    NotBefore          : 31/05/2011 10:47:05
    PublicKeySize      : 2048
    RootCAType         : Unknown
    SerialNumber       : 3F2F83BDA8D093BD4EA9362E3F8CBBD9
    Services           : None
    Status             : Invalid
    Subject            : CN=sbrssaexh01, DC=br, DC=com, DC=ecoluz
    Thumbprint         : 80E0FB5F8E6454DB7D8A3DE1C99927C2759B5E7F

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {sbrssaexh01, sbrssaexh01.ecoluz.com.br, webmail.ecoluz.com.br, autodiscover.ecoluz.com.br}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=sbrssanet01.ecoluz.com.br, DC=ecoluz, DC=com, DC=br
    NotAfter           : 05/01/2013 18:28:14
    NotBefore          : 06/01/2011 18:28:14
    PublicKeySize      : 2048
    RootCAType         : Enterprise
    SerialNumber       : 21E68D5A000000000010
    Services           : IMAP, POP, IIS
    Status             : Valid
    Subject            : CN=sbrssaexh01, DC=ecoluz.com.br
    Thumbprint         : 28CE47EBCAB1388980EB88B932FECF8739C17F1B

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule, System.Security
                         oKeyAccessRule}
    CertificateDomains : {sbrssaexh01, sbrssaexh01.ecoluz.com.br}
    HasPrivateKey      : True
    IsSelfSigned       : True
    Issuer             : CN=sbrssaexh01
    NotAfter           : 06/01/2012 18:20:22
    NotBefore          : 06/01/2011 18:20:22
    PublicKeySize      : 2048
    RootCAType         : None
    SerialNumber       : 8AC7B1123C5A3A8A4B081A509CABDF33
    Services           : IMAP, POP, SMTP
    Status             : Valid
    Subject            : CN=sbrssaexh01
    Thumbprint         : 6D60B129B65EA56B465196F49E880909C2CBF802

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule, System.Security
                         oKeyAccessRule}
    CertificateDomains : {sbrssaexh01, sbrssaexh01.ecoluz.com.br}
    HasPrivateKey      : True
    IsSelfSigned       : True
    Issuer             : CN=sbrssaexh01
    NotAfter           : 06/01/2012 18:01:43
    NotBefore          : 06/01/2011 18:01:43
    PublicKeySize      : 2048
    RootCAType         : None
    SerialNumber       : 70187B118E18078D4385D5B5F4E1804F
    Services           : IMAP, POP, SMTP
    Status             : Valid
    Subject            : CN=sbrssaexh01
    Thumbprint         : 35605312DCF21781A148F09B50512B919E345CAC

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {sbrssaexh01.ecoluz.com.br}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=sbrssanet01.ecoluz.com.br, DC=ecoluz, DC=com, DC=br
    NotAfter           : 05/01/2013 08:43:41
    NotBefore          : 06/01/2011 08:43:41
    PublicKeySize      : 2048
    RootCAType         : Enterprise
    SerialNumber       : 1FCF64CE00000000000F
    Services           : None
    Status             : Valid
    Subject            : CN=sbrssaexh01.ecoluz.com.br, O=Ecoluz SA
    Thumbprint         : 57E3A7C119C8EA2DB57C63A2888B39B3EECCD80F
    terça-feira, 31 de maio de 2011 14:49
  • Tente reinstalar o AD CS.

    Executei o procedimento te Instalação agora numa VM e deu certo.

    Tente instalar o AD CS seguindo este procedimento:

    http://technet.microsoft.com/pt-br/library/cc772429(WS.10).aspx

    Att,


    Lucas Camargo Reis
    terça-feira, 31 de maio de 2011 15:28
  • Apo esse Thumbprint que voce esta tentando habilitar nao exite..

     

    tenta criar um novo certificando usando o template abaixo

     https://www.digicert.com/easy-csr/exchange2007.htm

    ai depois voce utiliza o tutorial do anderson patricio http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?tut=912

    terça-feira, 31 de maio de 2011 15:57
  • Tente reinstalar o AD CS.

    Executei o procedimento te Instalação agora numa VM e deu certo.

    Tente instalar o AD CS seguindo este procedimento:

    http://technet.microsoft.com/pt-br/library/cc772429(WS.10).aspx

    Att,


    Lucas Camargo Reis
    Meu Server é o 2003. Exchange 2007
    terça-feira, 31 de maio de 2011 16:11
  • Tentei Thiago, mas não apresenta a opção de Web Servr
    terça-feira, 31 de maio de 2011 16:49
  • O seu AD CS é 2003 ou 2008 ?
    terça-feira, 31 de maio de 2011 16:59
  • Tente fazer a reinstalação de acordo com o link abaixo:

     

    http://technet.microsoft.com/pt-br/library/cc668455.aspx


    Lucas Camargo Reis
    terça-feira, 31 de maio de 2011 17:07
  • Galera...consegui criar novo certificado. Tinha um problema nas configurações do CA. Tive que habilitar umas configurações que me permitissem mostrar naquela tela.

     

    Já criei. Agora no ISA sei que preciso criar um listner no momento da publicação. Quando vou adicionar o certificado ele só localiza o antigo e não me dá opção de selecionar ou buscar outro. Como faço para escolher este meu novo certificado no listner do ISA?

    terça-feira, 31 de maio de 2011 17:26
  • Ola Elvis,

    No Servidor ISA você precisa instalar o certificado com autoridade de certificação Raiz confiável.
    Para isso abra o MMC, adicione um Snap-in Certificado e escolha Conta de computador.
    Após isso escolha  autoridade de certificação Raiz confiável e em ação => todas as tarefaz escolha importar.

    Após vocÊ instalar o certificado neste local ele tambem sera exibido no ISA Server.

    Att, 


    Jonathan Santos | http://jonathanrsantos.wordpress.com MCP | MCSA | MCSA Messaging | MCSE
    quarta-feira, 1 de junho de 2011 13:56
    Moderador
  • Quais foram as configurações feitas na CA?

    sexta-feira, 5 de fevereiro de 2016 18:48