En esta sección se enumeran algunos problemas comunes que pueden aparecer al usar el complemento Respondedor en línea o al trabajar con matrices de Respondedor en línea. Para obtener más información acerca de la solución de problemas relacionados con los Respondedores en línea, vea el tema acerca de la solución de problemas de los Servicios de certificados de Active Directory (https://go.microsoft.com/fwlink/?LinkId=89215) (puede estar en inglés).

¿De qué problema se trata?

El Respondedor en línea no se inicia.
  • Causa: el servicio Respondedor en línea puede producir un error al iniciarse debido a información del Registro dañada o a recursos del sistema insuficientes.

  • Solución: intente reiniciar el servicio Respondedor en línea desde el complemento Servicios (Services.msc). Si el servicio Respondedor en línea produce un error al iniciarse, compruebe si en el registro de eventos hay otros errores que puedan estar relacionados. Si no hay disponibles suficientes recursos del sistema para iniciar el servicio Respondedor en línea, intente reiniciar el equipo o liberar recursos del sistema. Si la información del Registro está dañada, debe usar el Administrador del servidor para desinstalar y volver a instalar el servicio Respondedor en línea.

El certificado de firma del Respondedor en línea no se pudo localizar
  • Causa: el certificado Firma de respuesta de OCSP no está presente en el almacén de certificados personales de la cuenta del equipo, o bien, si el certificado de firma se debería haber emitido mediante inscripción automática, ésta no se realizó.

  • Solución: si un certificado Firma de respuesta de OCSP no está presente en el almacén de certificados personales del equipo local y la revocación se ha configurado para la inscripción manual de Firma de respuesta de OCSP o para la detección automática, deberá inscribirse en un certificado manualmente. En configuraciones en las cuales el servicio Respondedor en línea se inscribe en su certificado, la inscripción manual no funcionará y será necesario identificar la razón por la que la inscripción automática no funciona. Las posibles razones incluyen:

    • El equipo en el cual se ejecuta el servicio Respondedor en línea no puede conectarse a una entidad de certificación (CA) configurada para emitir certificados basados en la plantilla Firma de respuesta de OCSP.

    • El Respondedor en línea no tiene permisos de lectura, de inscripción ni de inscripción automática (si ésta se utiliza) en la plantilla Firma de respuesta de OCSP.

Error al intentar crear una configuración de revocación
  • Causa: un intento de crear una configuración de revocación produjo en error con el mensaje "Certificado de firma defectuoso en el controlador de la matriz".

  • Solución: compruebe si la plantilla de certificado de firma de respuesta de OCSP se ha configurado correctamente. En caso contrario, configure la plantilla de certificado para permitir la inscripción manual de estos certificados de firma.

El certificado de firma para la configuración del Respondedor en línea expirará pronto
  • Causa: cuando no se usa la inscripción automática, se genera automáticamente un aviso recordatorio para que renueve un certificado que va a expirar cuando un certificado tiene configurado un determinado porcentaje de duración restante (de forma predeterminada, el 10 por ciento de su período total de validez). Para comprobar el tiempo restante en el certificado de firma actual, use el complemento Certificados para examinar el certificado Firma de respuesta de OCSP en el almacén de certificados personales del equipo o el servicio Respondedor en línea.

  • Solución: si la plantilla de certificado Firma de respuesta de OCSP se ha configurado para la inscripción y renovación automáticas, no es necesario realizar ninguna otra acción. En configuraciones manuales, puede renovar el certificado de firma mediante el complemento Certificados y el Asistente para renovación de certificados.

El certificado de firma para la configuración de revocación ha expirado
  • Causa: la renovación automática del certificado de firma produjo un error o la renovación manual del certificado no se completó antes de la fecha de expiración.

  • Solución: En configuraciones en las cuales el servicio Respondedor en línea se inscribe en su certificado, la inscripción manual no funcionará y será necesario identificar la razón por la que la inscripción automática no funciona. Las posibles razones incluyen:

    • El equipo en el cual se ejecuta el servicio Respondedor línea no puede conectarse a una entidad de certificación (CA) configurada para emitir certificados basados en la plantilla Firma de respuesta de OCSP.

    • El Respondedor en línea no tiene permisos de lectura, de inscripción ni de inscripción automática en la plantilla Firma de respuesta de OCSP.

    Un administrador de CA debe usar los complementos Plantillas de certificado y Entidad de certificación para comprobar la disponibilidad y la configuración de la plantilla Firma de respuesta de OCSP antes de intentar de nuevo la inscripción automática.

    Si la configuración de revocación se ha configurado para la inscripción manual del certificado Firma de respuesta de OCSP, ubique el certificado de firma dentro del almacén de certificados personales del equipo local del Respondedor en línea.

    En configuraciones manuales, puede renovar el certificado de firma mediante el complemento Certificados y el Asistente para renovación de certificados.

    También es posible que el certificado Firma de respuesta de OCSP no se pueda renovar debido a que la clave de CA que se usó para firmar el certificado Firma de respuesta de OCSP original no se ha renovado y ya no está disponible. Para resolver este problema, debe permitir la renovación del certificado Firma de respuesta de OCSP con una clave existente. Para obtener más información, vea Renovación de certificados de Firma de respuesta de OCSP con una clave existente.

No se puede cargar una configuración de revocación de Respondedor en línea
  • Causa: la configuración de revocación está dañada.

  • Solución: use el complemento Respondedor en línea para eliminar y volver a crear la configuración de revocación. Si este problema se produjo en un miembro de la matriz, puede eliminar la configuración dañada del miembro de la matriz y después sincronizar la matriz para volver a crear la configuración de revocación. Si este problema se encuentra en un controlador de la matriz, configure temporalmente otro equipo como controlador de la matriz, sincronice ésta y, a continuación, restablezca el equipo original como controlador de la matriz.

El servicio Respondedor en línea no pudo recuperar la CRL para la configuración de revocación especificada
  • Causa: se produjo un error en la publicación de la lista de revocación de certificados (CRL), los puntos de distribución CRL no son válidos o el servicio Respondedor en línea no pudo obtener acceso a la CRL publicada.

  • Solución: para identificar y resolver problemas de recuperación de CRL en un Respondedor en línea:

    1. Use el complemento Respondedor en línea para comprobar que las direcciones URL configuradas como puntos de distribución CRL base y delta son válidas.

    2. Use el complemento Entidad de certificación para comprobar las direcciones URL donde la CA publicará las CRL base y delta.

    3. En el equipo donde se publica la CRL base, examine la extensión CRL más actualizada de la CRL base. Compruebe que identifica una ubicación donde se encuentra la CRL delta.

    4. Si es necesario, vuelva a publicar la CRL actual, escribiendo el siguiente comando en el símbolo del sistema: certutil -crl

    5. A continuación, compruebe que el servicio Respondedor en línea puede obtener acceso a la CRL. En el complemento Respondedor en línea, haga clic con el botón secundario en Configuración de la matriz y, a continuación, haga clic en Actualizar datos de revocación.

Tabla de contenido