Erro “Certificate validation failed” no Windows App para macOS com CAC: como corrigir Identity Preference e fazer o smart card aparecer

Recebeu o erro “Certificate validation failed” ao adicionar um workspace no Windows App / Microsoft Remote Desktop para macOS usando CAC/smart card? Na maioria dos casos, o macOS fixou uma identidade errada. Aprenda a “limpar o cache” no Acesso às Chaves, fazer o smart card aparecer e o que fazer no Windows.

Sintomas e contexto

• Ao adicionar ou atualizar um workspace (AVD/Windows 365/RDWeb) no Windows App para macOS, o login falha com “Certificate validation failed”.
• Mesmo reinstalando o aplicativo, a mensagem persiste.
• Você insere a senha/PIN do CAC, mas o app parece escolher o certificado errado ou não oferece a opção de “Smart card”.
• Em navegadores como Chrome e Safari, o CAC funciona, o que gera confusão.

Por que isso acontece no macOS

O macOS mantém, no Acesso às Chaves (Keychain Access), um mapeamento chamado Identity Preference (preferência de identidade). Ele associa um serviço (normalmente um domínio/URL do seu workspace ou host RDP) a um certificado específico. Se, em algum momento, você escolheu o certificado errado (ou ele foi renovado/revogado), o macOS pode continuar forçando o Windows App a usar a identidade antiga. Resultado: durante a verificação TLS/mútua, o serviço rejeita a identidade e exibe “Certificate validation failed”.

A boa notícia: apagar a(s) Identity Preference relacionada(s) faz o sistema voltar a perguntar qual certificado usar — e, escolhendo o correto, o acesso volta a funcionar.

Correção no macOS: limpando a Identity Preference

Antes de começar

• Feche o Windows App/Microsoft Remote Desktop.
• Deixe o CAC inserido no leitor, mas só reabra o app após os passos abaixo.

Passo a passo

1. Abrir o Acesso às Chaves
   Vá em Aplicativos > Utilitários > Acesso às Chaves (ou use o Spotlight e digite “Acesso às Chaves”).
2. Procurar a preferência de identidade
   No campo de busca, digite o domínio/URL do seu workspace (ex.: seu-dominio.gov, rdweb.contoso.com, windows365.microsoft.com) ou pesquise por “Identity Preference”.
   Dica: alterne a visualização para Todas as chaves e Todos os itens para ampliar o escopo da busca. Verifique os cadeados “Início de sessão” (login) e “Sistema”.
3. Remover a(s) entrada(s) incorreta(s)
   Para cada item do tipo Identity Preference associado ao seu domínio/URL, clique com o botão direito e escolha Apagar. Confirme a exclusão.
   Observação: você pode encontrar mais de uma preferência para o mesmo domínio. Apague todas as relacionadas ao serviço que está falhando.
4. Fechar e reabrir o Windows App
   Abra novamente o Windows App e adicione o workspace. Quando a autenticação solicitar, selecione o certificado correto do seu CAC (geralmente marcado como PIV Authentication ou Client Authentication). Evite certificados de Assinatura ou E-mail se não forem os exigidos.
5. Conferir o redirecionamento de smart card
   Nas configurações da conexão no Windows App, confirme que Smart cards / Cartões inteligentes está ativado (geralmente em Devices & Audio ou Recursos).

Resultado esperado: usuários relatam que, assim que apagam a Identity Preference do domínio do workspace, o Windows App volta a solicitar a seleção do certificado e a conexão prossegue sem o erro “Certificate validation failed”.

Checklist de validação (macOS)

• Nenhuma preferência de identidade remanescente para o domínio do workspace.
• Windows App fechado e reaberto após a limpeza.
• Cartão inserido antes de iniciar a conexão.
• Certificado escolhido: o de Autenticação (PIV/Client Authentication), não o de assinatura/e-mail.
• Opção Smart cards habilitada na conexão.

Smart card não aparece no Windows App (macOS)

Depois de resolver a validação, alguns usuários notam que o app só lista certificados e não mostra a opção de “Smart card” na tela de login. Siga este roteiro, do mais provável ao menos provável:

Verificar o redirecionamento no app

1. Abra o Windows App → edite a conexão/desktop → Settings/Preferences.
2. Em Devices & Audio / Recursos, ative Smart cards/Cartões inteligentes.

Confirmar se o macOS reconhece o leitor/cartão

• Relatório do Sistema: Menu Apple → Sobre este Mac → Relatório do Sistema → Smart Cards. O leitor e o cartão devem aparecer.
• Acesso às Chaves: com o cartão inserido, os certificados do CAC ficam visíveis.

Middleware/driver do cartão (quando aplicável)

Alguns cartões/leitores exigem middleware (ex.: OpenSC para certos modelos). Se sua organização utiliza middleware, instale ou atualize e reconecte o dispositivo. Reinicie o macOS se orientado pela TI.

Higienizar a conexão

1. Remova e recrie o workspace no Windows App.
2. Feche e reabra o app com o cartão já inserido.

USB e energia

• Teste outra porta USB e evite hubs sem alimentação.
• Se usar um hub, prefira os com energia própria.

Observação útil: mesmo quando o Chrome consegue usar o CAC, o Windows App só apresenta a opção de Smart card se o redirecionamento estiver ativo e o macOS estiver a expor o cartão ao sistema.

Como fazer o “equivalente” no Windows

No Windows não há um objeto chamado Identity Preference, mas você pode “zerar” o estado de SSL/TLS e as credenciais salvas que prendem escolhas antigas de certificado.

1. Limpar o estado SSL
   Pressione Win+R, digite inetcpl.cpl e pressione Enter → guia Conteúdo → Limpar estado SSL.
2. Apagar credenciais salvas
   Abra o Painel de Controle → Gerenciador de Credenciais → Credenciais do Windows → remova entradas relacionadas ao tenant/serviço (AAD, Windows 365, AVD, Windows App).
3. Verificar certificados pessoais
   Pressione Win+R, digite certmgr.msc → Pessoal > Certificados. Remova certificados locais inválidos ou duplicados (isso não remove os certificados do smart card, que ficam no próprio cartão).
4. Garantir redirecionamento de smart card no RDP
   Em mstsc.exe: Mostrar Opções → Recursos Locais → Mais… → marque Cartões inteligentes.
5. Serviço de Smart Card
   Pressione Win+R, digite services.msc → serviço Smart Card em Execução (Automático ou Manual).
6. Conta corporativa (se aplicável)
   Em Configurações → Contas → Acesso corporativo ou de escola, desconecte e reconecte a conta para renovar tokens e políticas.

Diagnóstico rápido (tabela de bolso)

Problema	Causa provável	Ação recomendada
“Certificate validation failed” no macOS	Identity Preference apontando para certificado antigo/incorreto	Apagar a preferência no Acesso às Chaves e adicionar o workspace novamente
App não mostra “Smart card”	Redirecionamento desativado no app	Ativar Smart cards/Cartões inteligentes nas preferências da conexão
Leitor/cartão não reconhecido no Mac	Driver/middleware ausente ou porta USB	Instalar/atualizar middleware; testar outra porta/hub com energia
Loop de login no Windows	Cache SSL/TLS e credenciais salvas	Limpar estado SSL, apagar credenciais no Gerenciador de Credenciais
Falha na escolha do certificado	Usuário escolheu certificado de assinatura/e-mail	Selecionar o certificado de Autenticação (PIV/Client Authentication)

Boas práticas e prevenção

• Escolha o certificado certo do CAC: prefira o que indica Authentication/Autenticação. Evite os de Assinatura e E-mail quando não forem exigidos.
• Evite “lembrar minha seleção” enquanto estiver testando. Isso reduz a chance de gravar uma preferência errada.
• Mantenha apps e SO atualizados: versões recentes do Windows App/Remote Desktop e do macOS corrigem problemas de compatibilidade.
• Se o erro voltar após atualizações: repita a limpeza de Identity Preference (macOS) ou de estado SSL/credenciais (Windows).
• Consistência de leitor: sempre que possível, use o mesmo leitor e porta USB nas máquinas gerenciadas pela TI.

Notas importantes para ambientes corporativos

• Políticas MDM: em Macs gerenciados, perfis de configuração podem impor certificados e mapeamentos. Se a preferência reaparecer, fale com a TI sobre políticas que criam Identity Preferences automaticamente.
• Renovação de CAC: ao receber um novo cartão, as preferências antigas deixam de fazer sentido. Apague-as e volte a selecionar a nova identidade.
• Requisitos do serviço: alguns tenants exigem cadeia específica de CAs intermediárias. Certifique-se de que o macOS possui a cadeia atualizada (normalmente instalada com o middleware ou pelos perfis MDM).

Exemplo de fluxo completo de correção (macOS)

1. Feche o Windows App.
2. Abra o Acesso às Chaves → busque pelo domínio do workspace.
3. Apague todos os itens do tipo Identity Preference que correspondam ao domínio/serviço problemático.
4. Insira o CAC no leitor.
5. Abra o Windows App → adicione o workspace.
6. Quando solicitado, selecione o certificado do CAC com Autenticação.
7. Edite a conexão e confirme que Smart cards está ativado.
8. Conecte-se. Se ainda falhar, verifique middleware, portas USB e o Relatório do Sistema > Smart Cards.

Perguntas frequentes

O que exatamente é uma “Identity Preference”?
É um registro no Acesso às Chaves que liga um domínio/serviço a uma identidade (certificado + chave). Se o mapeamento fica desatualizado, o macOS oferece a identidade errada aos aplicativos.

Apagar a preferência remove meus certificados do CAC?
Não. A preferência é um apontador; ela não apaga certificados do cartão. Você está apenas removendo o “atalho” para forçar o sistema a perguntar novamente qual certificado usar.

O Windows App e o Microsoft Remote Desktop são diferentes?
Em macOS, ambos referem-se ao cliente de Área de Trabalho Remota. O nome pode variar por versão/canal (estável, beta, Insider). As configurações de Smart cards podem aparecer sob rótulos ligeiramente distintos, mas a opção de redirecionamento é a mesma.

Por que o navegador funciona com CAC, mas o Windows App falha?
Porque o navegador negocia certificados de cliente em outro contexto (e pode perguntar toda vez). O Windows App, quando encontra uma Identity Preference no macOS, obedece ao mapeamento — e se ele estiver incorreto, a validação cai.

Qual certificado do CAC devo escolher?
O que possui Client Authentication/PIV Authentication no Extended Key Usage. Certificados de Assinatura e E-mail têm propósitos distintos e normalmente não autenticam o workspace/RDP.

Preciso reinstalar o app?
Em geral, não. Reinstalar sem limpar a Identity Preference não muda o comportamento. Foque na limpeza do Acesso às Chaves e na conferência do redirecionamento.

Soluções de contingência

• Recriar o workspace: além de apagar preferências, remova e adicione o workspace para forçar o app a revalidar a autenticação.
• Teste com outro leitor: útil para isolar hardware (especialmente leitores antigos em hubs não alimentados).
• Verifique data e hora: carimbos de tempo incorretos derrubam cadeias TLS. No macOS, mantenha “Ajustar data e hora automaticamente” ativo.

Resumo prático (TL;DR)

• macOS: apague as Identity Preferences do domínio/URL do workspace no Acesso às Chaves; no Windows App, ative Smart cards e escolha o certificado de Autenticação.
• Smart card não aparece: confirme o redirecionamento no app, se o macOS vê o cartão, e atualize o middleware quando necessário.
• Windows: não há “Identity Preference”, mas o “reset” equivalente é limpar o estado SSL, apagar credenciais no Gerenciador de Credenciais, checar o redirecionamento de smart card no RDP e garantir o serviço Smart Card em execução.

---

Apêndice: passo a passo condensado (macOS)

1. Abrir Acesso às Chaves → buscar pelo domínio do workspace.
2. Apagar Identity Preferences relacionadas.
3. Fechar/reabrir o Windows App, com CAC inserido.
4. Ativar Smart cards nas configurações.
5. Selecionar o certificado correto de Autenticação.

Apêndice: passo a passo condensado (Windows)

1. inetcpl.cpl → Conteúdo → Limpar estado SSL.
2. Gerenciador de Credenciais → remover credenciais do serviço.
3. certmgr.msc → limpar certificados pessoais inválidos/duplicados.
4. mstsc.exe → Recursos Locais → Mais… → marcar Cartões inteligentes.
5. services.msc → serviço Smart Card em execução.

---

Se você é da TI: considere documentar internamente o domínio/URL exato do feed/workspace e qual certificado do CAC deve ser usado (ex.: “PIV Authentication – DoD”). Isso acelera o suporte e reduz reincidência.

---