Los Servicios de certificados han detectado un error al cargar los certificados de Key Recovery Agent.
Los servicios de certificados de Active Directory (AD CS) requieren certificados de Key Recovery Agent, certificados de intercambio (XCHG) y claves para poder archivar las claves. El funcionamiento correcto de los certificados de Key Recovery Agent, de los certificados XCHG y de los proveedores de servicios de cifrado (CSP) necesarios para crearlos es importante para una infraestructura de clave pública.
Configuración del número correcto de certificados del Key Recovery Agent
Compruebe que esté disponible el número correcto de certificados de Key Recovery Agent para la entidad de certificación (CA). El número de certificados de Key Recovery Agent necesarios se define en la ficha Agentes de recuperación del complemento "Entidad de certificación".
Para llevar a cabo este procedimiento debe disponer de permiso para administrar CA o haber delegado la autoridad adecuada.
Para identificar problemas específicos con certificados de Key Recovery Agent:
En el equipo donde se hospede la CA, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Entidad de certificación.
Haga clic con el botón derecho sobre el nombre de entidad de certificación y haga clic en Propiedades.
Haga clic en la ficha Agentes de recuperación.
Compruebe la columna de estado de los certificados de Key Recovery Agent. Si uno o más certificados aparecen como Expirado o No válido, quite los certificados de Key Recovery Agent expirados o inválidos e inscriba y asigne nuevos certificados.
Si no encuentra ningún problema con estos certificados, expórtelos a un archivo .cer, abra una ventana del símbolo del sistema y ejecute el comando siguiente contra cada uno de los archivos para comprobar la validez y el estado de la revocación: certutil -verify y presione ENTRAR.
Como alternativa, si posee menos certificados de Key Recovery Agent válidos de los especificados, también puede ir a la pestaña Agentes de recuperación y reducir el número de Key Recovery Agents necesarios.
Para obtener más información, consulte http://go.microsoft.com/fwlink/?LinkID=95698.
Para confirmar que el archivado y recuperación de claves funciona correctamente:
En el equipo donde se hospede la CA, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Entidad de certificación.
En el árbol de consola, haga clic con el botón secundario en el nombre de la entidad de certificación (CA) y, a continuación, haga clic en Propiedades.
Haga clic en la ficha Agentes de recuperación.
Confirme que todos los certificados de Key Recovery Agent sean válidos.
En el contenedor de plantillas de certificado, confirme que el certificado de cifrado tenga seleccionada la opción Archivar clave privada de cifrado de sujeto en la ficha Control de solicitudes.
Abra el complemento Certificados de la cuenta de usuario que posea permisos para inscribir un certificado basado en esta plantilla de certificado.
En el árbol de consola, haga clic con el botón secundario en Personal, seleccione Todas las tareas y haga clic en Solicitar un nuevo certificado para iniciar el asistente para inscripción de certificados.
Inscríbase a un certificado basado en la plantilla de cifrado y confirme que la inscripción se completa correctamente y que no se detectan errores.
Cuando se complete la inscripción, abra el complemento Entidad de certificación.
En el árbol de consola, haga clic en Certificados emitidos.
Busque la entrada del certificado que acabe de emitir y agregue la columna Clave archivada a la lista de visualización de complementos.
Confirme que la palabra Sí aparezca en la columna Clave archivada del certificado que se haya emitido.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 98 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.98" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">98</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID1174ddb52fa84d038200f297c5aa47dc"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>