none
Configuração da cadeia de certificado Autoridade Certificadora Raiz Brasileira v5 RRS feed

  • Discussão Geral

  • Olá!

    Trabalho em uma empresa de software que atende vários clientes no seguimento de transmissão de nota fiscal eletrônica e utilizamos ‎Autoridade Certificadora Raiz Brasileira v5. De alguns meses pra cá começamos a ter problemas na comunicação com a SEFAZ recebendo o retorno "A conexão subjacente estava fechada: Não foi possível estabelecer relação de confiança para o canal seguro de SSL/TLS". Como solução temos que acessar o Certmgr.msc e altera em propriedades da ‎Autoridade Certificadora Raiz Brasileira v5 para utilizar a opção "Autenticação do Servidor" ou simplesmente marcar a opção "Ativar todas as finalidades deste certificado".

    O problema volta a ocorrer após alguns dias em nossos servidores, as vezes em alguns, as vezes em todos e, novamente, temos que reconfigurar as propriedades do Raiz Brasileira v5.

    Inconsistência ocorre independentemente do Windows Server utilizado. Atualmente utilizamos o Windows Server 2016.

    Temos alguma solução para este problema?

    Desde já agradeço.

    Att.

    Marcos Moreira

    segunda-feira, 20 de maio de 2019 19:59

Todas as Respostas

  • Bom dia.

    Estamos com problema semelhante aqui.

    Verifiquei que o sistema passa a retornar erro de conexão, mais especificamente, quando a finalidade "Autenticação do Servidor" está desmarcada. Até aí tudo bem, basta remarcá-la. Porém algum tempo depois volta a ocorrer. 

    Pesquisando o assunto, verifiquei em notícia publicada no site da Associação de das Autoridades de Registro do Brasil no dia 01 de abril 2019 que em 26 de março a Microsoft lançou uma atualização planejada para o Programa de Certificados Confiáveis da Microsoft, adicionando entre outras, a raiz "Autoridade Certificadora Raiz Brasileira v5 \ 4ACADAB14B74BF4FBA7BACE64B91801C44B8CC66". Se não estou enganado, os problemas começaram a aparecer por aí.

    Utilizando-me do Visualizador de Eventos do Windows, para visualizar "Logs do Windows > Aplicativo" filtrei a fonte "CAPI2" e identificação "4109". Foram exibidas somente atualizações automáticas de propriedades de certificados raiz de terceiros. Utilizando a ferramenta "Localizar...", busquei por "V5", encontrado uma ocorrência no momento exato onde o sistema parou de transmitir as notas por falha de conexão.

    Portanto, estou entendendo que esta atualização automática das propriedades da Autoridade Certificadora Raiz Brasileira v5 está voltando as finalidades para um estado padrão onde a "Autenticação do Servidor" se encontra desmarcada.

    Hoje vou tentar desabilitar esta atualização da seguinte forma:

    Usando o Editor de Política de Grupo Local (gpedit.msc), alterei a seguinte propriedade:

    Política Computador Local > Configuração do Computador > Modelos Administrativos > Sistema > Gerenciamento de Comunicação da Internet > Desativar Atualização Automática de Certificados Raiz.

    Defini esta regra como "Habilitado".

    Em seguida no prompt de comando executei o seguinte comando:

    gpupdate /force

    Vou aguardar alguns dias par verificar se resolveu e posto aqui. Se tiver encontrado outra solução, por favor, compartilhe. Obrigado.

    Att. 

    Eduardo R R

    terça-feira, 18 de junho de 2019 17:18
  • Tenho o mesmo problema. Esta atualização tem ocorrido uma vez por semana, sempre às terças-feiras. Creio que seja por causa do dia que eu faço a alteração é na terça, aí na semana seguinte acontece a mesma coisa. Eu fiz o mesmo procedimento que você citou. Vamos ver se na próxima semana não ocorre o problema.
    terça-feira, 25 de junho de 2019 16:20
  • Eduardo, olá!

    Estamos enfrentando o mesmo problema na organização onde trabalho. Você obteve sucesso em seus testes?

    Desde já agradeço!

    Atenciosamente,

    Toni

    quinta-feira, 4 de julho de 2019 00:51
  • Olá novamente!

    Já fazem aproximadamente 3 semanas e meia que essa inconsistência não votou a ocorrer. Ainda não consegui descobri o que mudou. Caso consiga descobrir o que, de fato, corrigiu o problema ou se o mesmo voltar a ocorrer, informarei aqui novamente. Obrigado.

    Att.

    Marcos Moreira

    quinta-feira, 4 de julho de 2019 14:01
  • Bom dia Marcos!

    Estou passando pelo mesmo problema. Utilizo o emisso NF-e da empresa Config(Sistema Triangulus), e estamos passando pelo mesmo problema, mais quando precisamos consultar NF-e para SEFAZ Bahia.

    Somente obtemos sucesso no acesso a URL "SEFAZ BA", quando no certificado digital Autoridade Certificadora Raiz Brasileira v5 marcamos a opção "Enable all purposes for this certificate". Essa falha. não ocorre quando acessamos a "SEFAZ SP". E como você bem observou, se não habilitarmos a opção "Enable all purposes for this certificate", basta somente marcar "Server Authentication" que o acesso a URL SEFAZ Bahia e realizado com sucesso.

    Att, Robenildo de Oliveira


    Robenildo de Oliveira <robenildo.oliveira@outlook.com>

    quinta-feira, 4 de julho de 2019 14:57
  • Boa tarde Eduardo!

    Depois do procedimento efetuado no servidor você voltou a ter o problema com o acesso a SEFAZ?


    Robenildo de Oliveira <robenildo.oliveira@outlook.com>

    quinta-feira, 4 de julho de 2019 15:31
  • Boa tarde.

    Após o dia 18 começamos a fazer o procedimento que eu citei anteriormente nos clientes que apresentavam o problema. Ao ativar a regra no gpedit, aproveitamos para colocar um comentário com a data em que a regra foi habilitada. Após a virada do mês (de junho / julho 2019) começamos a pegar algumas recorrências do problema em clientes onde o procedimento já havia sido executado. Tendo em vista que possa ter ocorrido algum erro na execução das instruções, a diversidade de versões do sistema operacional Windows nos quais nossa solução se encontra instalada e também ao fato de não saber exatamente a regra de execução destas atualizações de propriedades do certificado, acho cedo ainda para informar algo conclusivo, porém, posso afirmar que se não resolveu em definitivo, pelo menos resolveu por enquanto e para vários casos, pois acabo de confirmar com alguns clientes em que eu executei o procedimento no dia 19, e de lá pra cá o erro não ocorreu mais. Estes clientes emitem, seja NFC-e ou NF-e, com frequência. Apesar de não manter uma estatística mais exata sobre o problema, foi perceptível para a equipe de suporte a redução no número de chamados após o início da implementação desta possível solução. Neste momento estamos tentando descobrir padrões, por exemplo de versão do sistema operacional, nos casos que apresentaram reincidência. Tendo novos dados volto a informar.<o:p></o:p>

    Este fórum é moderado?

    Seria interessante se alguém da Microsoft pudesse nos informar o porquê de uma atualização do Windows desabilitar a propriedade autenticação do servidor e uma forma mais acertada de evitar que isso ocorra.<o:p></o:p>

    Att.

    Eduardo R R

    • Editado Eduardo R R quinta-feira, 4 de julho de 2019 18:05 .
    quinta-feira, 4 de julho de 2019 18:05
  • Eduardo, boa tarde!

    Obrigado pelo poste e relato.

    No ambiente de emissão NF-e foi migrado de W2K8R2 para W2K16, onde o problema começou a ocorrer em Maio/2019.

    No momento eu não estou mais habilitando a opção "Enable all purposes for this certificate", e somente mantendo como padrão a opção default "Enable only the following purposes", mais a opção "Server Authentication" marcada.

    Estou monitorando para verificar se algum recurso do Windows Server 2016 desabilita a opção SErver Authentication, já que o gpupdate /force não desabilita.

    Att,

    Robenildo de Oliveira


    Robenildo de Oliveira <robenildo.oliveira@outlook.com>


    quinta-feira, 4 de julho de 2019 18:51

  • ..."Estou monitorando para verificar se algum recurso do Windows Server 2016 desabilita a opção SErver Authentication, já que o gpupdate /force não desabilita."...


    Robenildo, boa tarde.

    Na verdade o que desabilita a autenticação do servidor é o processo de atualização automática das propriedades de certificados raiz de terceiros executado de forma automática pelo windows conforme identifiquei no log. Os procedimentos com o gpedit e gpupdate são para que esta atualização não ocorra mais.

    Att.

    Eduardo R R

    quinta-feira, 4 de julho de 2019 19:23
  • Eduardo, boa tarde!

    Venho através deste informar que desde meu ultimo post, onde somente mantive habilitado a opção "Server Authentication, não tive mais problemas para acessar o webservice da SEFAZ BA.

    Não foi necessário fazer a configuração através do GPEDIT.

    Até hoje nenhum recurso do Windows Server 2016 removeu essa opção marcada no certificado "Autoridade Certificadora Raiz Brasileira v5".

    Abraços a todos.

    Robenildo de Oliveira

    

    Robenildo de Oliveira <robenildo.oliveira@outlook.com>

    terça-feira, 9 de julho de 2019 19:04
  • Robenildo, boa tarde.

    Boa notícia, obrigado por compartilhar.

    Att. 

    Eduardo R R

    terça-feira, 9 de julho de 2019 20:22
  • Olá,

    para referência, tem uma thread similar:

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/1cad009a-449d-4612-a4d5-5c8a73bcf32e/trusted-root-ca-certificate-purposes-is-been-changed-alone?forum=winserversecurity#9e211715-9a29-4c44-a900-e2d3f1d9baa9

    Abraço!



    Blog: http://poliveirasilva.wordpress.com

    TI Especialistas: http://www.tiespecialistas.com.br/author/paulo-oliveira/

     


    quarta-feira, 10 de julho de 2019 17:03