Compartilhar via

Remoção do certificado de autoridade de certificação da Política Comum Federal dos EUA da raiz confiável da Microsoft

Este artigo discute a remoção do certificado raiz da autoridade de certificação da Política Federal Comum dos EUA na atualização do certificado raiz da Microsoft de 24 de maio de 2022. Este artigo também fornece soluções para evitar ou resolver problemas que ocorrerão se as empresas não tiverem feito a transição para o certificado raiz da CA G2 da Política Comum Federal antes da remoção do certificado raiz da CA da Política Comum Federal da CTL (Lista de Certificados Confiáveis) da Microsoft até 24 de maio de 2022.

Observação

O certificado raiz que está sendo removido pela Atualização de Certificado Raiz da Microsoft é chamado de "AC de Política Comum Federal" e é comumente chamado de certificado raiz "G1", embora "G1" não apareça no nome do certificado.

O certificado raiz que substitui o certificado raiz "G1" é denominado "Federal Common Policy CA G2" e é comumente chamado de certificado raiz "G2".

Aplica-se a: Todas as versões do Windows

Introdução

A equipe da PKI Federal dos Estados Unidos (FPKI) que rege a CA da Política Federal Comum dos EUA solicitou formalmente a remoção do certificado raiz "G1" listado abaixo do Programa Raiz Confiável da Microsoft.

Nome de certificado Impressão digital SHA1
CA da Política Comum Federal 905F942FD9F28F679B378180FD4F846347F645C1

Aplicativos e operações que dependem do certificado raiz "G1" falharão de um a sete dias após receberem a atualização do certificado raiz. Os administradores devem migrar do certificado raiz "G1" existente para o certificado raiz "G2" de substituição listado abaixo como a âncora de confiança federal da sua agência.

Nome de certificado Impressão digital SHA1
Política Comum Federal CA G2 99B4251E2EEE05D8292E8397A90165293D116028

Observação

O certificado raiz "G2" pode ser baixado diretamente do download do arquivo crt do certificado raiz "G2".

Possíveis problemas

Depois que o certificado raiz "G1" for removido, os usuários em ambientes que não fizeram a transição para o certificado raiz "G2" poderão enfrentar problemas que afetam os seguintes cenários:

  • Conexões TLS ou SSL.
  • Extensões de e-mail da Internet seguras ou multifuncionais (S/MIME) ou e-mail seguro.
  • Documentos assinados no Microsoft Word. (Os arquivos PDF e Adobe Acrobat não serão afetados.)
  • Autenticação de cliente, incluindo o estabelecimento de conexões VPN.
  • Acesso autenticado por cartão inteligente ou PIV, incluindo acesso por crachá que depende totalmente do software Windows.

As seguintes mensagens de erro podem ser exibidas em janelas pop-up e caixas de diálogo:

  • O certificado de segurança do site não é confiável.

  • O certificado de segurança apresentado por este site não foi emitido por uma CA confiável.

  • Uma cadeia de certificados processada, mas encerrada em um certificado ROOT que não é confiável para o provedor de confiança.

  • Erro de encadeamento de certificados.

  • A cadeia de certificados foi emitida por uma autoridade que não é confiável.

  • O certificado ou a cadeia associada é inválido.

Etapas para evitar esses problemas

  1. Verifique as alterações na seção Configuração de teste para testar o que ocorre com a remoção do "G1" da CTL antes da data de lançamento da atualização.
  2. Depois de usar a seção de configuração de teste para verificar se todos os cenários relevantes funcionam, siga as etapas na seção "Configuração de produção" em sua configuração de produção.

Observação

Cenários de aplicativo como serviço, como SQL do Azure ou Serviço de Aplicativo do Azure, que se encadeiam ao certificado raiz "G1", falharão depois que o certificado raiz "G1" for removido.

Configuração de teste

Antes do lançamento da atualização, os administradores podem usar as etapas a seguir para configurar diretamente o Registro do Windows para um local de pré-lançamento ou preparado da atualização de certificado mais recente. Você também pode definir as configurações usando a Política de Grupo. Consulte Para configurar um modelo administrativo personalizado para um GPO.

Observação

A versão prévia da versão de maio, que inclui a remoção do certificado raiz "G1", está preparada para 11 de maio de 2022.

  1. Abra o regedit e navegue até a seguinte subchave do Registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate

  2. Adicione ou modifique os seguintes valores do Registro:

    • Defina RootDirUrl como http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/test.
    • Defina SyncFromDirUrl como http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/test.

  3. Exclua os seguintes valores do Registro:

    • Codificado
    • LastSyncTime

  4. Exclua a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates subchave. Esta etapa exclui todos os certificados raiz armazenados.

    Observação

    Ao excluir todos os certificados raiz armazenados do HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates, você pode garantir que todos os certificados raiz armazenados sejam removidos. Essa operação força o Windows a baixar novos certificados raiz se forem usadas cadeias PKI (infraestrutura de chave pública) associadas que tenham novas propriedades (se modificadas). Como o certificado raiz "G1" está sendo removido, esse certificado raiz não será baixado.

  5. Verifique todos os cenários encadeados ao certificado raiz "G1", incluindo aqueles listados em Possíveis problemas.

Observação

O link para o site de teste nunca muda. No entanto, as alterações preparadas no site de teste mudam de mês para mês.

Configuração de produção

As etapas a seguir configuram diretamente o registro do Windows para usar a versão de produção da CTL se a URL de teste da seção anterior for usada:

  1. Abra o regedit e navegue até a seguinte subchave do Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate

  2. Adicione ou modifique os seguintes valores do Registro:

    • Defina RootDirUrl como http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en.
    • Defina SyncFromDirUrl como http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en.

  3. Exclua os seguintes valores do Registro:

    • Codificado
    • LastSyncTime

  4. Exclua a subchave do HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates Registro. Esta etapa exclui todos os certificados raiz armazenados.

Configurar o certificado raiz "G2"

Os administradores devem configurar o certificado raiz "G2" de acordo com as instruções a seguir antes que o certificado raiz "G1" seja removido pela atualização do certificado raiz OOB (fora de banda).

  1. Siga as orientações em Obter e verificar o certificado raiz da FCPCA para baixar e instalar o certificado raiz "G2" em todos os computadores do grupo de trabalho, membro e controlador de domínio do Windows.
  2. Há várias maneiras de implantar o repositório raiz em dispositivos corporativos. Consulte a seção "Soluções Microsoft" em Distribuir para sistemas operacionais.

Observação

Em empresas que têm dependências de certificação cruzada para logons de cartão inteligente ou outros cenários em dispositivos Windows, mas não têm acesso à Internet, consulte as seções "Preciso distribuir os certificados de autoridade de certificação intermediários?" e "Certificados emitidos pela CA G2 de Política Comum Federal" de Distribuir certificados intermediários.

Muitas empresas federais devem ter os certificados CA do Tesouro dos EUA ou os certificados CA de serviços gerenciados da Entrust. Ambos os certificados de CA estão documentados no artigo "Distribuir os certificados de CA", da seguinte maneira:

Importante! Para garantir que os certificados de credencial PIV emitidos pelo SSP federal da Entrust antes de 13 de agosto de 2019 sejam validados para a CA G2 da Política Comum Federal, você precisará distribuir um certificado CA intermediário adicional para sistemas que não podem executar a validação de caminho dinâmico. Saiba mais em nossa página de perguntas frequentes.

Etapas manuais para obter o CTL

Para ambientes desconectados nos quais os dispositivos Windows não têm permissão para acessar o Windows Update ou a Internet, siga estas etapas para obter manualmente a CTL:

  1. Baixe o CTL:
    1. Execute certutil -generateSSTFromWU c:\roots\trustedcerts.sst.
    2. Quando você seleciona o arquivo trustedcerts.sst , isso deve abrir o snap-in do Gerenciador de Certificados para exibir a CTL completa.
  2. Baixar lista de certificados não permitidos:
    1. Execute certutil -syncwithwu c:\roots.
    2. Execute certutil -verifyctl -v c:\roots\disallowedstl.cab c:\roots\disallowedcert.sst.
    3. Quando você seleciona disallowedcert.sst, isso deve abrir o snap-in do Gerenciador de Certificados para exibir todas as raízes na lista Não permitido.
  3. Para avaliar as configurações que não são mostradas na interface do usuário, converta o arquivo SST em um arquivo de texto. Para fazer isso, execute certutil -dump -gmt -v c:\roots\trustedcerts.sst > c:\roots\trustedcerts.txt.
  4. Baixe o certificado raiz "G2" em Obter e verificar o certificado raiz da FCPCA e adicioná-lo à sua CTL pessoal.

Solucionar problemas e analisar problemas de encadeamento raiz

Os dados a seguir podem ajudá-lo a solucionar problemas de operações afetadas pela remoção do certificado raiz "G1":

  1. Habilite o log CAPI2. Consulte Solução de problemas de PKI do Windows e Diagnóstico CAPI2.

  2. Crie filtros no Visualizador de Eventos nos seguintes logs de eventos, fontes de eventos e IDs de eventos.

    No log de Aplicativos e Serviços \ Microsoft \ Windows \ CAPI2 \ Operacional que usa CAPI2 como sua origem:

    • ID do evento 11: esse evento mostra falhas de encadeamento.
    • ID do evento 30: esse evento mostra falhas na cadeia de políticas, como falhas de NTAuth e verificação de política SSL.
    • ID do evento 90: esse evento mostra todos os certificados que foram usados para criar todas as cadeias de certificados possíveis no sistema.
    • ID do evento 40–43: esta série de eventos mostra todas as CRLs armazenadas e certificados de evento que são acessados por meio de caminhos AIA.
    • ID do evento 50–53: esta série de eventos mostra todas as tentativas de acessar as CRLs da rede. O evento está relacionado à seguinte mensagem de erro:

      Uma cadeia de certificados processada, mas encerrada em um certificado ROOT que não é confiável para o provedor de confiança

    No log de eventos do sistema que usa Microsoft-Windows-Kerberos-Key-Distribution-Center como sua origem:

    • Erro 19: esse evento indica que foi feita uma tentativa de usar um logon de cartão inteligente, mas o KDC não pode usar o protocolo PKINIT porque um certificado adequado está ausente.
    • Evento 21: Não foi possível criar uma cadeia de certificados para uma autoridade raiz confiável.
    • Evento 29: o KDC (Centro de Distribuição de Chaves) não consegue encontrar um certificado adequado para usar para logons de cartão inteligente ou o certificado KDC não pôde ser verificado. O logon do cartão inteligente pode não funcionar corretamente se esse problema não for resolvido. Para corrigir esse problema, verifique o certificado KDC existente usando o Certutil.exe ou registre-se para obter um novo certificado KDC.