Los Servicios de certificados han cambiado al proveedor predeterminado para las claves de cifrado.
Los servicios de certificados de Active Directory (AD CS) requieren certificados de Key Recovery Agent, certificados de intercambio (XCHG) y claves para poder archivar las claves. El funcionamiento correcto de los certificados de Key Recovery Agent, de los certificados XCHG y de los proveedores de servicios de cifrado (CSP) necesarios para crearlos es importante para una infraestructura de clave pública.
Uso de un proveedor de servicios criptográficos compatible con el archivado y recuperación de claves
Es posible que no pueda usar herramientas administrativas para solucionar problemas causados por proveedores de servicios criptográficos, el componente del software que realiza el cifrado y otras tareas relacionadas para la generación de certificados de cifrado. Sin embargo, las tareas siguientes pueden revelar información de diagnóstico para asistir en el proceso de resolución:
Identifique y pruebe su proveedor de servicios criptográficos.
Si continúa teniendo problemas y está utilizando un proveedor distinto a Microsoft, póngase en contacto con el distribuidor para obtener información sobre la solución de problemas.
También puede restablecer el proveedor de claves de cifrado, pero también deberá revocar el certificado "Intercambio de CA" actual para que pueda emitirse uno nuevo basado en el nuevo proveedor.
Si continúa teniendo problemas y está utilizando un proveedor de Microsoft, póngase en contacto con el servicio de soporte técnico y de atención al cliente de Microsoft.
Identificación y prueba de proveedores de servicios criptográficos
Para llevar a cabo este procedimiento debe disponer de permiso para administrar CA o haber delegado la autoridad adecuada.
Para identificar y probar el proveedor de servicios criptográficos que esté utilizando:
Abra una ventana del símbolo del sistema.
Escriba certutil -getreg ca\EncryptionCSP y presione ENTRAR.
Escriba certutil -csp <nombredelproveedor> -csptest y presione ENTRAR. Sustituya nombre del proveedor con el proveedor identificado en el resultado del paso 2.
Si utiliza un proveedor de servicios criptográficos distinto a Microsoft, póngase en contacto con el distribuidor para obtener asistencia. En caso contrario, póngase en contacto con el servicio de soporte técnico y de atención al cliente de Microsoft.
Restablecimiento del proveedor de claves de cifrado predeterminado
Para llevar a cabo este procedimiento debe ser miembro del grupo local "Administradores" o haber delegado la autoridad adecuada.
Puede configurar la entidad de certificación (CA) para que utilice el proveedor predeterminado de Microsoft para cifrar los certificados; para ello, establezca la siguiente clave del Registro como "Microsoft Software Key Storage Provider".
Nota: Es posible que deba revocar el certificado "Intercambio de CA" actual, si hay solo uno, para que pueda emitirse uno nuevo basado en el nuevo proveedor. A continuación, reinicie la CA.
Para modificar un proveedor de claves de cifrado configurado:
Precaución: La modificación incorrecta del Registro puede dañar gravemente el sistema. Antes de realizar cambios en el Registro, haga una copia de seguridad de los datos importantes.
En el equipo donde se hospeda la CA, haga clic en Inicio, escriba regedit y, a continuación, presione ENTRAR.
Vaya a HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Nombre de entidad de certificación\EncryptionCSP\Provider.
Cambie el valor actual por "Microsoft Software Key Storage Provider".
Abra el complemento Entidad de certificación.
En el árbol de consola, haga clic en Certificados emitidos.
En el panel de detalles, seleccione el certificado "Intercambio de CA".
En el menú "Acción", seleccione "Todas las tareas" y haga clic en "Revocar certificado".
Seleccione el motivo para revocar el certificado, ajuste la hora de la revocación si es necesario y, a continuación, haga clic en Sí.
Reinicie la CA.
Para confirmar que el archivado y recuperación de claves funciona correctamente:
En el equipo donde se hospede la CA, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Entidad de certificación.
En el árbol de consola, haga clic con el botón secundario en el nombre de la entidad de certificación (CA) y, a continuación, haga clic en Propiedades.
Haga clic en la ficha Agentes de recuperación.
Confirme que todos los certificados de Key Recovery Agent sean válidos.
En el contenedor de plantillas de certificado, confirme que el certificado de cifrado tenga seleccionada la opción Archivar clave privada de cifrado de sujeto en la ficha Control de solicitudes.
Abra el complemento Certificados de la cuenta de usuario que posea permisos para inscribir un certificado basado en esta plantilla de certificado.
En el árbol de consola, haga clic con el botón secundario en Personal, seleccione Todas las tareas y haga clic en Solicitar un nuevo certificado para iniciar el asistente para inscripción de certificados.
Inscríbase a un certificado basado en la plantilla de cifrado y confirme que la inscripción se completa correctamente y que no se detectan errores.
Cuando se complete la inscripción, abra el complemento Entidad de certificación.
En el árbol de consola, haga clic en Certificados emitidos.
Busque la entrada del certificado que acabe de emitir y agregue la columna Clave archivada a la lista de visualización de complementos.
Confirme que la palabra Sí aparezca en la columna Clave archivada del certificado que se haya emitido.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 88 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.88" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">88</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>