Los Servicios de certificados no se han iniciado: Certificado de CA.
La validación de la cadena o la ruta es el proceso por el cual se certifica la entidad final (el usuario o el equipo) y todos los certificados de la entidad de certificación (CA) se procesan de forma jerárquica hasta que la cadena de certificados finaliza como un certificado autofirmado y de confianza. Normalmente este es un certificado de CA raíz. El inicio de Servicios de certificados de Active Directory (AD CS) puede generar errores si hay problemas de disponibilidad, validez y validación de cadenas para el certificado de CA.
Cargar y confirmar un certificado y una cadena de CA válidos
Para que pueda completarse la validación de la cadena de certificados deberá confirmar que puede acceder a un certificado de entidad de certificación (CA) válido. Para solucionar los problemas asociados con la ubicación de un certificado de CA válido, confirme que:
Hay disponible un certificado de CA en el equipo donde se hospeda la CA.
Existe un certificado de CA válido en el contenedor AIA.
La cadena de certificados de CA se puede validar.
Si expira una de las listas de revocación de certificados (CRL) de una CA en la cadena, se generará una nueva CRL.
Para llevar a cabo estos procedimientos debe disponer de permiso para administrar CA o haber delegado la autoridad adecuada.
Confirmación de que existe un certificado de CA válido en el equipo donde se hospede la CA
Para confirmar que el equipo que hospeda la CA dispone de un certificado de CA válido:
Haga clic en Inicio, escriba mmc y, a continuación, presione ENTRAR.
Si se muestra el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que quiere y haga clic en Continuar.
En el menú Archivo, haga clic en Agregar o quitar complemento, en Certificados y, a continuación, en Agregar.
Haga clic en Cuenta de equipo y, a continuación, en Siguiente.
Haga clic en Finalizar y, a continuación, en Aceptar.
En el árbol de consola, haga clic en Certificados (equipo local) y, a continuación, en Personal.
Confirme que el almacén disponga de un certificado de CA que no haya expirado.
Confirme que existe un certificado de CA válido en el contenedor AIA.
Para confirmar que existe un certificado de CA válido en el contenedor AIA:
Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Sitios y servicios de Active Directory.
Haga clic en Sitios y servicios de Active Directory [nombreDeDominio].
En el menú Ver, haga clic en Mostrar el nodo de servicios.
Haga doble clic en "Services" y en "Public Key Services" y, a continuación, haga clic en AIA.
Confirme que exista un certificado de CA que no haya expirado en el contenedor AIA.
Validación de la cadena de certificados de CA
Para validar una cadena de certificados de CA:
Abra una ventana del símbolo del sistema.
Escriba certutil -urlfetch -verify en el certificado CA y presione ENTRAR.
Confirme que las ubicaciones de red de punto de distribución del contenedor AIA y de las CRL estén disponibles, que todos los certificados de la cadena sean válidos y no hayan sido revocados, y que las CRL válidas estén disponibles.
Si las ubicaciones de punto de distribución de AIA o CRL no están disponibles, identifique y solucione el problema que no permite su acceso.
Si alguno de los certificados de la cadena ha expirado o han sido revocados, renueve estos certificados. Si fuera necesario volver a emitir un certificado de CA, deberán volver a emitirse todos los certificados bajo este certificado en la cadena.
Si expira una CRL de una CA de la cadena, genere nuevas CRL de base y de diferencias en esta CA y cópielas en las ubicaciones correspondientes.
Si la CA está sin conexión, es posible que sea necesario reiniciarla.
Comprobación y publicación de CRL
Para comprobar y, si fuera necesario, publicar nuevas CRL:
En la CA que es el origen del problema, compruebe la CRL publicada actual, la cual se crea por defecto en la carpeta %windir%\System32\CertSrv\CertEnroll.
Si las listas CRL que se encuentren en dicha ubicación han expirado o no son válidas, abra una ventana del símbolo del sistema, escriba certutil -CRL y presione ENTRAR para publicar una nueva lista CRL.
Para generar nuevas CRL de base y de diferencias:
En el equipo donde se hospede la CA, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Entidad de certificación.
En el árbol de consola, haga clic en Certificados revocados.
En el menú Acción, seleccione Todas las tareas y haga clic en Publicar.
Seleccione Lista de revocación de certificados (CRL) nueva para sobrescribir la CRL publicada, o bien seleccione únicamente Diferencia CRL para publicar una CRL de diferencias actual.
Para crear una CRL mediante la herramienta de línea de comandos Certutil:
En el equipo donde se hospeda la CA, haga clic en Inicio, escriba cmd y presione ENTRAR.
Escriba certutil -CRL y presione ENTRAR.
Para publicar CRL en AD DS mediante la herramienta de línea de comandos Certutil:
Abra una ventana del símbolo del sistema.
Escriba certutil -dspublish "<crlname.crl>" ldap:///CN=<nombre de CA>,CN=<nombre de servidor CA>,CN=CDP,CN=Public Key Services,CN=Ser vices,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint y pulse Entrar.
Reemplace crlname.crl por el nombre del archivo CRL, el nombre de entidad de certificación y el nombre de host de la CA por el nombre de su CA y el nombre del host donde se ejecuta la CA; finalmente, reemplace contoso y com por el espacio de nombres de su dominio de Active Directory.
Para confirmar que el certificado y la cadena de la entidad de certificación (CA) son válidas:
En el equipo donde se hospeda la CA, haga clic en Inicio, escriba mmc y, a continuación, presione ENTRAR.
Si se muestra el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que quiere y haga clic en Continuar.
En el menú Archivo, haga clic en Agregar o quitar complemento, en Certificados y, a continuación, en Agregar.
Haga clic en Cuenta de equipo y, a continuación, en Siguiente.
Haga clic en Finalizar y, a continuación, en Aceptar.
En el árbol de consola, haga clic en Certificados (equipo local) y, a continuación, en Personal.
Confirme que el almacén disponga de un certificado de CA que no haya expirado.
Haga clic con el botón secundario sobre el certificado y seleccione Exportar para iniciar el Asistente para exportación de certificados.
Exporte el certificado a un archivo llamado Cert.cer.
Escriba Start, cmd y presione ENTRAR.
Escriba certutil -urlfetch -verify <cert.cer> y pulse ENTRAR.
Si no se producen errores de validación, de creación de cadena o de comprobación de revocación quiere decir que la cadena es válida.
| Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
| Category | EventCollection | ||
| Enabled | True | ||
| Event_ID | 42 | ||
| Event Source | Microsoft-Windows-CertificationAuthority | ||
| Alert Generate | True | ||
| Alert Severity | Error | ||
| Alert Priority | High | ||
| Remotable | True | ||
| Alert Message |
| ||
| Event Log | Application |
| ID | Module Type | TypeId | RunAs |
|---|---|---|---|
| DS | DataSource | Microsoft.Windows.EventProvider | Default |
| Alert | WriteAction | System.Health.GenerateAlert | Default |
| WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
| WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
Home
ESN <Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.42" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">42</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID95fa03cbca824f2ab660d7719f2798cb"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>