En esta sección se enumeran algunos problemas comunes que puede encontrar al usar el complemento Entidad de certificación o al trabajar con entidades de certificación (CA). Para obtener más información acerca de la solución de problemas relacionados con las CA, vea el tema acerca de la solución de problemas de los Servicios de certificados de Active Directory (https://go.microsoft.com/fwlink/?LinkId=89215, puede estar en inglés).

¿De qué problema se trata?

Los clientes no se inscriben automáticamente en los certificados después de configurar la inscripción automática.
  • Causa: la información de directiva de grupo usada para la inscripción automática aún no se ha replicado en los equipos cliente. De forma predeterminada, esta información puede tardar dos horas en replicarse en todos los equipos.

  • Solución: espere a que la directiva de grupo complete la replicación o use la herramienta de línea de comandos Gpupdate para forzar la replicación inmediata. Para obtener más información, vea Gpupdate (https://go.microsoft.com/fwlink/?LinkId=94248) (puede estar en inglés).

No se puede instalar una CA como CA de empresa o no se puede instalar la compatibilidad con inscripción en web de CA para reconocer una CA independiente.
  • Causa: la CA fue instalada por un usuario que no es miembro del grupo Administradores de empresas o Admins. del dominio; por lo tanto, la opción de CA empresarial no está disponible y la información acerca de la CA no se puede publicar en los Servicios de dominio de Active Directory (AD DS).

  • Solución: inicie sesión como usuario del grupo Administradores de empresas o Admins. del dominio para instalar la CA y la compatibilidad con la inscripción en web de CA.

  • Causa: el dominio no es accesible durante la instalación de la CA.

  • Solución: asegúrese de que tiene conectividad de red con el controlador de dominio durante la instalación de la CA.

Error al obtener acceso a páginas web de CA.
  • Causa: el usuario que intenta obtener acceso a las páginas web no es miembro del grupo Administradores o Usuarios avanzados del equipo local. Si hay disponible una versión más reciente del software de inscripción en web en la CA, el equipo cliente debe instalar el software. El usuario debe ser miembro del grupo Administradores o Usuarios avanzados para instalar el software.

  • Solución: inicie sesión como un usuario miembro del grupo Administradores o Usuarios avanzados para tener acceso a las páginas de inscripción en web y descargar la versión más reciente del software.

  • Causa: las páginas web no está instaladas en la CA.

  • Solución: en un símbolo del sistema de la CA, ejecute certutil -vroot para instalar las páginas de inscripción en web.

Un usuario intenta iniciar sesión con la tarjeta inteligente y recibe este mensaje: "El sistema no puede iniciar su sesión en este dominio porque falta la cuenta de equipo en el dominio primario o la contraseña en esa cuenta no es correcta".
  • Causa: la cuenta de equipo puede estar deshabilitada o el equipo no confía en la CA que emitió el certificado de tarjeta inteligente.

  • Solución:

    1. compruebe si la cuenta de equipo está habilitada en el dominio.

    2. Use el complemento Certificados para comprobar si el certificado de la CA raíz se encuentra en el almacén Entidades de certificación raíz de confianza del equipo del usuario.

    3. Use el complemento Certificados para comprobar si se ha emitido un certificado de controlador de dominio que se pueda comprobar en una raíz de confianza.

Al intentar inscribirse en un certificado de un equipo o una cuenta que pertenece a un dominio secundario del dominio donde se encuentra la CA, aparece el siguiente error: "No se pueden encontrar las plantillas. No hay ninguna CA para la que tenga permiso para solicitar un certificado o se produjo un error al obtener acceso a Active Directory."
  • Causa: los permisos de seguridad necesarios no están establecidos en las plantillas de certificado.

  • Solución: modifique los permisos de seguridad para que las plantillas de certificado incluyan las cuentas de dominio secundario desde las que desea permitir la inscripción. Para establecer el control de acceso para las plantillas de certificado, vea Emisión de certificados basados en plantillas de certificados en https://go.microsoft.com/fwlink/?LinkID=142333 (puede estar en inglés).

    Dado que se debe agotar el tiempo de espera de algunas memorias caché de control de acceso después de realizar cambios en los permisos de seguridad, debe esperar durante un breve espacio de tiempo para que los permisos de seguridad nuevos se repliquen a través de la red.

No se puede inscribir un agente de inscripción en nombre de un usuario para una plantilla de certificado específica.
  • Causa: se pueden haber configurado restricciones del agente de inscripción para impedir que el agente de inscripción inscriba certificados basados en la plantilla de certificado para este grupo de usuarios.

  • Solución: este comportamiento puede estar incluido en el diseño si tiene previsto que el agente de inscripción inscriba certificados basados en esta plantilla de certificado o para este grupo de usuarios. Si no está incluido en el diseño, siga los pasos de Establecimiento de agentes de inscripción restringidos para configurar los permisos de agente de inscripción correctos para este grupo y plantilla de certificado.

  • Causa: el certificado de agente de inscripción se configura con una clave de cifrado de nueva generación (CNG) y el certificado se solicita desde una CA basada en Windows Server 2003.

  • Solución: use un certificado de agente de inscripción compatible con CA basadas en Windows Server 2003 o solicite el certificado a una CA de un equipo con Windows Server 2008 R2 o Windows Server 2008.

No se pueden completar las operaciones de administradores de certificados o agentes de inscripción restringidos después de cambiar el nombre del dominio.
  • Causa: en el caso de las operaciones de autoridades restringidas, la CA se basa en el nombre del solicitante del Administrador de cuentas de seguridad (SAM) almacenado en la base de datos de Active Directory para comprobar si la autoridad tiene derechos para administrar la solicitud. No obstante, el nombre del SAM contiene el nombre del dominio y la operación de la autoridad restringida genera un error si se cambia el nombre del dominio (en lugar de cambiar sólo la parte del DNS del nombre).

  • Solución: deshabilite o vuelva a configurar los permisos de la autoridad restringida antes de volver a intentar la operación de inscripción.

No se puede agregar una plantilla de certificado nueva de la versión 2 o 3 a la CA.
  • Causa: la CA está instalada en un servidor con Windows Server 2008 R2 Standard o Windows Server 2008 Standard. Las plantillas de certificado de las versiones 2 y 3, y la inscripción automática de certificados, solo se pueden usar con CA instaladas en Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise o Windows Server 2008 Datacenter.

  • Solución: actualice a Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise o Windows Server 2008 Datacenter.

Se ha producido un problema no descrito aquí.
  • Causa: vea el registro de eventos del servidor. Suele contener mensajes de error más detallados que pueden ayudarle a diagnosticar y solucionar el problema.

  • Solución: para obtener más información acerca de los eventos registrados por los Servicios de certificados de Active Directory, vea el tema acerca de la solución de problemas de los Servicios de certificados de Active Directory (https://go.microsoft.com/fwlink/?LinkId=89215, puede estar en inglés).


Tabla de contenido