No se puede encontrar un certificado de firma para un servicio Respondedor en línea.
El estado y el funcionamiento del servicio "Respondedor en línea" de Microsoft depende de un gran número de características y componentes, entre los que se incluyen la capacidad para acceder a tiempo a los datos de revocación de certificados, la validez del certificado y la cadena de la entidad de certificación (CA) y la respuesta y disponibilidad total del sistema.
Inscribirse para un certificado de Firma de respuesta OCSP correctamente configurado
Para funcionar, un Respondedor en línea necesita poseer un certificado de Firma de respuesta OCSP válido.
Si puede encontrar un certificado de Firma de respuesta OCSP válido en el almacén de certificados personales adecuado del equipo que hospeda el Respondedor en línea, podrá corregir este problema asignando el certificado a una configuración de revocación y actualizando los datos de revocación.
Sin embargo, si no posee un certificado de Firma de respuesta OCSP, la forma en que podrá solucionar los problemas con los certificados de Firma de respuesta OCSP dependerá de si la inscripción del certificado está configurada para llevarse a cabo de forma automática o manual.
Para configuraciones de revocación que empleen la inscripción manual para firmar certificados, haga lo siguiente:
Si el certificado de Firma de respuesta OCSP no existe, use el procedimiento indicado en la sección "Inscribirse manualmente para un certificado de Firma de respuesta OCSP".
A continuación, complete el procedimiento indicado en la sección "Asignar un certificado a una configuración de revocación".
Complete el procedimiento indicado en la sección "Actualizar datos de revocación".
Para configuraciones de revocación que empleen una inscripción automática para firmar certificados, la inscripción debería llevarse a cabo sin la intervención del usuario. Por lo tanto, si el certificado no existe, es probable que la inscripción esté bloqueada por algún motivo. Compruebe en el registro de eventos si se han producido errores o advertencias adicionales que puedan estar relacionados con este error. Si no hay disponible ninguna otra información, lleve a cabo las siguientes acciones:
Use el procedimiento indicado en la sección "Confirmar que una CA es accesible" para confirmar que el equipo en el que el servicio Respondedor en línea está ejecutándose puede conectarse a una entidad de certificación (CA).
Complete el procedimiento indicado en la sección "Confirmar que una plantilla de certificado está correctamente configurada".
Complete el procedimiento indicado en la sección "Confirmar que una plantilla de certificado está disponible en una CA".
Complete el procedimiento indicado en la sección "Actualizar la información de revocación" para asegurarse de que el error no vuelva a repetirse.
Para ejecutar estos procedimientos debe ser miembro del grupo local "Administradores" en cada equipo que hospede el Respondedor en línea y disponer de permisos para administrar CA en el equipo que hospede la CA, o bien haber delegado la autoridad adecuada.
Inscribirse manualmente para un certificado de Firma de respuesta OCSP
Para inscribirse manual para un certificado de Firma de respuesta OCSP:
Haga clic en Inicio, escriba mmc y, a continuación, presione ENTRAR.
Si se muestra el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que quiere y haga clic en Continuar.
En el menú Archivo, haga clic en Agregar o quitar complemento, en Certificados y, a continuación, en Agregar.
Haga clic en Cuenta de equipo y, a continuación, en Siguiente.
Seleccione el equipo donde se hospeda el Respondedor en línea, haga clic en Finalizar y, a continuación, en Aceptar.
Haga doble clic en Personal y, a continuación, doble clic en Certificados.
Busque todos los certificados con la extensión de uso mejorado de claves (Enhanced Key Usage, EKU) de Firma OCSP.
Si no se puede encontrar un certificado de Firma de respuesta OCSP o si el certificado de Firma de respuesta OCSP ha caducado y no se ha inscrito un nuevo certificado, inscriba un nuevo certificado manualmente. Para ello, haga clic con el botón secundario en Personal, seleccione Todas las tareas y haga clic en Solicitar un nuevo certificado para iniciar el Asistente para inscripción de certificados.
Use el asistente para completar el proceso de inscripción, seleccionando la plantilla de la Firma de respuesta OCSP u otra plantilla configurada para emitir certificados de Firma de respuesta OCSP.
Una vez que se haya emitido el certificado, asígnelo a la configuración de revocación empleando el procedimiento que se indica a continuación.
Asignar un certificado a una configuración de revocación
Para asignar un certificado a una configuración de revocación:
Haga clic en "Inicio", seleccione "Herramientas administrativas" y haga clic en "Respondedor en línea".
En el árbol de la consola, expanda Configuración de la matriz y haga clic en el nodo para el equipo en el que se registró el error.
Haga clic con el botón secundario en la configuración de revocación especificada en el registro de eventos y haga clic en Asignar certificado de firma.
Seleccione el certificado y haga clic en Aceptar.
Haga clic en Configuración de revocación y, a continuación, haga clic con el botón secundario en la configuración de revocación.
Haga clic en Editar propiedades y, a continuación, en la pestaña Firma. Active la casilla Usar automáticamente certificados de firma renovados si no desea reasignar el certificado de firma a la configuración de revocación manualmente cada vez que el certificado de firma sea renovado. Si no desea que se realice esta asignación automáticamente, no active esta casilla.
Cuando termine, use el siguiente procedimiento para garantizar que el error no vuelva a repetirse.
Actualizar la información de revocación
Para actualizar la información de revocación de un Respondedor en línea mediante el complemento Respondedor en línea:
Haga clic en "Inicio", seleccione "Herramientas administrativas" y haga clic en "Respondedor en línea".
Haga clic con el botón secundario en Configuración de la matriz y haga clic en Actualizar datos de revocación.
Confirme que no se hayan detectado errores adicionales.
Haga clic en el nodo "Respondedor en línea" y confirme que la configuración de revocación funcione correctamente.
En Configuración de la matriz, seleccione el equipo del Respondedor en línea que registró el error y, a continuación, haga clic en la configuración de revocación que aparezca en el error.
En el panel de detalles, consulte el estado del certificado de firma y del proveedor de revocación en el panel Estado de configuración de revocación.
Confirme que no se hayan detectado errores adicionales.
Configuraciones de revocación configuradas para la inscripción automática de certificados de firma
El procedimiento anterior asume que el certificado de Firma de respuesta OCSP no fue configurado para inscripción manual. Si la plantilla del certificado de Firma de respuesta OCSP fue configurado para la inscripción automática, necesitará confirmar que no existan más problemas que bloqueen el proceso de renovación.
Para llevar a cabo estos procedimientos debe ser miembro del grupo local "Administradores" o haber delegado la autoridad adecuada.
Confirmar que una CA es accesible
Para confirmar que una CA es accesible para un cliente:
Abra una ventana del símbolo del sistema.
Escriba certutil -ping -config<equipo\usuario> y pulse ENTRAR.
Nota: Si usa -config -, la operación será procesada empleando la CA predeterminada. Debe especificar el equipo o usuario con permiso para inscribirse para certificados desde la CA cuando use la opción -config. De lo contrario, aparece el cuadro de diálogo Seleccionar entidad de certificación y muestra una lista de todas las entidades de certificación disponibles.
Confirmar que una plantilla de certificado está correctamente configurada
Para confirmar que la plantilla de un certificado de Firma de respuesta OCSP está correctamente configurada:
En el equipo donde se hospeda la CA, haga clic en Inicio, escriba Certtmpl.msc y presione ENTRAR.
Haga clic con el botón secundario en la plantilla de la Firma de respuesta OCSP y, a continuación, haga clic en Propiedades.
Haga clic en la pestaña Seguridad.
En Nombre de grupo o de usuario, haga clic en Agregar.
Haga clic en Tipos de objetos, active la casilla Equipos y haga clic en Aceptar.
Escriba el nombre o busque el equipo que hospeda los servicios Respondedor en línea o los servicios de respuesta del Protocolo de estado de certificados en línea (OCSP,) y haga clic en Aceptar.
En el cuadro de diálogo Nombres de grupos o usuarios, haga clic en el nombre del equipo.
En el cuadro de diálogo Permisos, active las casillas Lectura, Inscripción e Inscripción automática y, a continuación, haga clic en Aceptar.
Confirmar que una plantilla de certificado esté disponible en una CA
Para publicar una plantilla de un certificado:
Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Entidad de certificación.
En el árbol de la consola, haga clic con el botón secundario en Plantillas de certificado, seleccione Nueva y, a continuación, haga clic en Plantilla de certificado que se va a emitir.
Seleccione la plantilla de certificado y haga clic en Aceptar.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 23 |
Event Source | Microsoft-Windows-OnlineResponder |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.23" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">23</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponder</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>