Erro "Suas credenciais não puderam ser verificadas" ao fazer logon no Windows com Windows Hello para Empresas

Este artigo apresenta como corrigir o erro "Não foi possível verificar suas credenciais" que ocorre quando você tenta fazer logon no Windows com o Windows Hello para Empresas (WHFB).

Aplica-se a: Windows 10, Windows 11
Número original do KB: 4519735

Sintoma

Quando você tenta entrar em um dispositivo Windows 10 ou Windows 11 usando um certificado WHFB ou confiança de chave, ele falha com uma das seguintes mensagens de erro:

Suas credenciais não puderam ser verificadas

Algo deu errado e seu PIN não está disponível (status: 0xc00000bb, substatus:0x0). Clique para configurar seu PIN novamente.

Causa

Esse problema ocorre porque o certificado de autoridade de certificação (CA) emissor está ausente no repositório NTAuth do controlador de domínio e do computador cliente.

Quando você usa o WHFB, o controlador de domínio precisa validar o certificado enviado pelo computador cliente. Durante a validação, ele verifica o serviço KDC (Centro de Distribuição de Chaves) no controlador de domínio para verificar se ele pode encontrar o certificado de autoridade de certificação emissor na chave do Registro NTAuth. A chave do Registro NTAuth é localizada em HKLM\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates.

Observação

O que a chave do Registro EnterpriseCertificates apresenta é um local no Active Directory. Durante uma atualização de política de grupo, esses certificados são importados para o Registro por todos os computadores cliente, membros e controladores de domínio na floresta.

Como identificar o problema

1. Abra o snap-in Autoridade de Certificação .
2. Clique com o botão direito do mouse no servidor CA emissor e selecione Propriedades.
3. Vá para a guia Geral e selecione os certificados atuais se houver vários certificados e, em seguida, selecione Exibir Certificado.
4. Vá para a guia Detalhes e role para baixo até o atributo Impressão digital.
5. Anote a impressão digital do certificado CA emissor.
6. Abra o registro no controlador de domínio e navegue até HKLM\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates.
7. Verifique se você tem uma pasta na chave do Registro acima com o valor da impressão digital.

Solução

1. Abra o snap-in Autoridade de Certificação .

2. Clique com o botão direito do mouse no servidor CA emissor e selecione Propriedades.

3. Vá para a guia Geral e selecione os certificados atuais se houver vários certificados e, em seguida, selecione Exibir Certificado.

4. Exporte o certificado usando a opção Copiar para arquivo. E salve-o como um arquivo como IssuingCA.cer.

5. Entre usando as credenciais de administrador corporativo em um controlador de domínio e execute o seguinte comando:

   certutil -dspublish -f IssuingCA.cer NTAuthCA
   certutil -enterprise -addstore NTAuth IssuingCA.cer
   

6. Execute gpupdate /force e confirme se a impressão digital da CA emissora foi criada neste hive do Registro, HKLM\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates.

7. Aguarde a conclusão da replicação do Active Directory.

8. Execute gpupdate /force também nos computadores cliente e verifique se a impressão digital do certificado de autoridade de certificação emissor foi criada nos computadores cliente.