En esta sección se enumeran algunos problemas comunes que pueden aparecer al usar el complemento Plantillas de certificado o al trabajar con plantillas de certificado. Para obtener más información acerca de la solución de problemas relacionados con las plantillas de certificado, consulte el tema sobre solución de problemas de los Servicios de certificados de Active Directory (https://go.microsoft.com/fwlink/?LinkId=89215) (puede estar en inglés).

¿De qué problema se trata?

El complemento Plantillas de certificado no muestra ninguna lista de plantillas después de solicitar la instalación de plantillas de certificado nuevas
  • Causa: las plantillas de certificado no se han replicado todavía en la entidad de certificación (CA) a la que está conectado el equipo. Esta replicación es parte de la replicación de Active Directory.

  • Solución: espere a que se repliquen las plantillas de certificado y vuelva a abrir el complemento Plantillas de certificado.

No se están emitiendo certificados a los clientes
  • Causa: la duración del certificado de emisión usado por la entidad de certificación (CA) es más corta que el período superpuesto de plantilla configurado para la plantilla de certificado solicitada. Esto significa que el certificado emitido sería apto inmediatamente para la reinscripción. En lugar de emitir y renovar continuamente este certificado, la solicitud de certificado no se procesa.

  • Solución: renueve el certificado de emisión usado por la entidad de certificación.

Se emiten certificados a los sujetos, pero se produce un error en las operaciones criptográficas con dichos certificados
  • Causa: el proveedor de servicios de cifrado (CSP) no coincide con las opciones de uso de claves o no existe.

  • Solución: confirme que ha establecido en la plantilla un CSP que admite el tipo de operación criptográfica para la que se usará el certificado.

Los controladores de dominio no obtienen certificados de controlador de dominio
  • Causa: se ha deshabilitado la inscripción automática mediante las opciones de configuración de directiva de grupo para controladores de dominio. Los controladores de dominio obtienen sus certificados mediante la inscripción automática.

  • Solución: habilite la inscripción automática para controladores de dominio.

  • Causa: la configuración predeterminada de la Solicitud de certificados automática para controladores de dominio se ha quitado de la directiva predeterminada de controladores de dominio.

  • Solución: cree una nueva Solicitud de certificados automática en la directiva predeterminada de controladores de dominio para la plantilla de certificado del controlador de dominio.

Los clientes no pueden obtener certificados a través de la inscripción automática
  • Causa: los permisos de seguridad deben configurarse para permitir a los sujetos previstos la inscripción y la inscripción automática en la plantilla de certificado. Ambos permisos son necesarios para habilitar la inscripción automática.

  • Solución: modifique la lista de control de acceso discrecional (DACL) de la plantilla de certificado para otorgar permisos de lectura, inscripción e inscripción automática a los sujetos que desee.

Los nombres de las plantillas de certificado del complemento no son coherentes entre sí en vistas o ventanas
  • Causa: se está usando Sitios y servicios de Active Directory para ver las plantillas de certificado. Es posible que este complemento no muestre una vista tan precisa como Plantillas de certificado.

  • Solución: use el complemento Plantillas de certificado para administrar las plantillas de certificado.

La clave privada no se puede exportar desde los certificados de tarjeta inteligente, aun cuando se ha seleccionado Permitir que la clave privada se pueda exportar en la plantilla de certificado
  • Causa: las tarjetas inteligentes no permiten exportar claves privadas una vez que se escriben en la tarjeta inteligente.

  • Solución: ninguna.

La plantilla de certificado se ha modificado, pero algunas entidades de certificación (CA) tienen todavía la versión no modificada
  • Causa: las plantillas de certificado se replican entre entidades de certificación con el proceso de replicación de Active Directory. Puesto que esta replicación no es instantánea, puede que la nueva versión de la plantilla esté disponible para todas las entidades de certificación con algo de retraso.

  • Solución: espere a que la plantilla modificada se haya replicado en todas las entidades de certificación. Para visualizar las plantillas de certificado que están disponibles en la CA, use la herramienta de línea de comandos Certutil.exe.

La clave privada no se archiva a pesar de que he seleccionado la opción Archivar clave privada de cifrado de sujeto y he configurado la CA para que solicite la recuperación de claves
  • Causa: las claves privadas no se archivarán si el uso de claves para la plantilla de certificado está establecido en Firma. Esto se debe a que el uso de firma digital requiere que la clave no sea recuperable.

  • Solución: Ninguna

La inscripción automática me solicita que renueve un certificado que no me pertenece y tengo certificados en mi almacén de certificados personales que yo no he puesto ahí
  • Causa: cuando se usa la estación de inscripción de tarjeta inteligente en el equipo del administrador para renovar o cambiar el certificado almacenado en la tarjeta inteligente, el certificado de la tarjeta inteligente se copia en el almacén de certificados privado del administrador. Este certificado puede procesarse mediante inscripción automática e indicarle que comience el proceso de renovación.

  • Solución: haga clic en Iniciar para comenzar el proceso de renovación de inscripción automática. Puesto que el certificado no es suyo, el proceso de inscripción automática terminará cuando haga clic en Iniciar. Si desea quitar los certificados de su almacén de certificados personales, puede eliminarlos manualmente.


Tabla de contenido