Los Servicios de certificados de Active Directory no han podido eliminar un certificado para una solicitud desde la ubicación y el servidor especificados.
Una de las funciones principales de una entidad de certificación (CA) es evaluar las solicitudes de certificados de clientes y, si se cumplen los criterios predefinidos, emitir certificados a dichos clientes. Para que la inscripción de certificados se complete correctamente es necesario disponer de una serie de elementos antes de enviar la solicitud, entre los que se incluye una CA con un certificado de CA válido; plantillas de certificados configuradas correctamente, cuentas de clientes y solicitudes de certificados; y alguna forma para que el cliente pueda enviar la solicitud a la CA, se valide su solicitud e instale el certificado emitido.
Eliminación manual del certificado
Un problema de conectividad o de permisos puede impedirle que elimine un certificado. Para resolver este problema:
Confirme que posee acceso de red a la ubicación donde se almacena el certificado.
Intente eliminar el certificado mencionado en el mensaje del registro de eventos mediante uno de los procedimientos siguientes.
Si confirma que posee conectividad de red y continúa sin poder eliminar el certificado, confirme los permisos en los contenedores Usuarios del dominio y Equipos del dominio en Servicios de dominio de Active Directory (AD DS) antes de intentar volver a eliminar el certificado.
Para llevar a cabo estos procedimientos debe disponer de permiso para administrar CA o haber delegado la autoridad adecuada.
Eliminación de un certificado
Para eliminar un certificado mediante el complemento Certificados:
Confirme que el certificado que desea eliminar existe en la ubicación identificada en el mensaje de registros de eventos.
Si no puede acceder a esta ubicación a causa de un problema de conexión, corrija el problema y vuelva a intentarlo.
Haga clic en Inicio, escriba mmc y, a continuación, presione ENTRAR.
Si se muestra el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que quiere y haga clic en Continuar.
En el menú Archivo, haga clic en Agregar o quitar complemento, en Certificados y, a continuación, en Agregar.
Seleccione el usuario, el servicio o la cuenta de equipo y haga clic en Siguiente.
Si desea eliminar un certificado para un equipo o servicio, identifique el equipo o el servicio. Haga clic en Finalizar y, a continuación, en Aceptar.
Seleccione el almacén de certificados donde se encuentra el certificado que desea eliminar.
Haga clic con el botón secundario en el certificado que desea eliminar y haga clic en Eliminar.
Cuando el sistema le pregunte si desea eliminar el certificado, haga clic en Sí.
También puede eliminar un certificado no válido mediante la herramienta de línea de comandos Certutil.
Para eliminar un certificado mediante Certutil:
Abra una ventana del símbolo del sistema.
Escriba certutil -viewdelstore <ubicación de la red especificada en el mensaje del registro de eventos> y pulse ENTRAR.
Seleccione el certificado que desee eliminar y haga clic en Aceptar.
Si continúa sin poder eliminar el certificado, siga el procedimiento descrito en la sección Confirmación de permisos en los contenedores Equipos del dominio y Usuarios del dominio en Servicios de dominio de Active Directory para confirmar que el equipo donde se hospeda la entidad de certificación (CA) posee permisos de lectura y escritura para la ubicación especificada en el mensaje de error.
Confirmar los permisos en los contenedores Equipos de dominio y Usuarios de dominio en Servicios de dominio de Active Directory
Para confirmar que la CA posee los permisos necesarios en los contenedores Equipos del dominio y Usuarios del dominio:
En el equipo donde se hospede la CA, haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Sitios y servicios de Active Directory.
En el menú Ver, haga clic en Mostrar el nodo de servicios.
Haga doble clic en "Services" y en "Public Key Services"; a continuación, haga clic con el botón secundario en Equipos y seleccione Propiedades.
En la ficha Seguridad, confirme que el grupo de publicadores de certificados posee permisos de lectura y escritura.
Haga clic con el botón secundario en Usuarios del dominio y seleccione Propiedades.
En la ficha Seguridad, confirme que el grupo de publicadores de certificados posee permisos de lectura y escritura.
Para confirmar que el procesamiento de solicitud de certificados funciona correctamente:
Haga clic en Inicio, escriba certmgr.msc y, a continuación, presione ENTRAR.
Si se muestra el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que quiere y haga clic en Continuar.
En el árbol de consola, haga doble clic en Personal y, a continuación, haga clic en Certificados.
En el menú Acción, seleccione Todas las tareas y haga clic en Solicitar un nuevo certificado para iniciar el asistente para inscripción de certificados.
Use el asistente para crear y enviar una solicitud de certificado para cualquier tipo de certificado disponible.
En Resultados de la instalación del certificado, confirme que la inscripción se haya completado correctamente y que no se hayan detectado errores. También puede hacer clic en Detalles para ver más información sobre el certificado.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 109 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.109" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">109</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
</WriteActions>
</Rule>