Los Servicios de certificados no han podido utilizar un certificado de Key Recovery Agent.
Los servicios de certificados de Active Directory (AD CS) requieren certificados de Key Recovery Agent, certificados de intercambio (XCHG) y claves para poder archivar las claves. El funcionamiento correcto de los certificados de Key Recovery Agent, de los certificados XCHG y de los proveedores de servicios de cifrado (CSP) necesarios para crearlos es importante para una infraestructura de clave pública.
Identificación y uso de certificados de Key Recovery Agent
Para solucionar este problema necesitará identificar el motivo por el cual el certificado de Key Recovery Agent que está en uso es incorrecto. Los certificados de Key Recovery Agent suelen quedar inservibles cuando expiran o son revocados.
Para llevar a cabo este procedimiento debe disponer de permiso para administrar CA o haber delegado la autoridad adecuada.
Para examinar la validez del certificado de Key Recovery Agent:
En el equipo donde se hospeda la CA, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Entidad de certificación.
Haga clic con el botón secundario en el nombre de la entidad de certificación (CA) y haga clic en Propiedades.
Haga clic en la ficha Agentes de recuperación y compruebe si el certificado de Key Recovery Agent cuyo índice aparece en la lista del registro de eventos ha expirado o es incorrecto. Para comprobar su validez, confirme las fechas de vigencia y asegúrese de que contenga la extensión de uso mejorado de clave (EKU), lo que indica que el certificado puede utilizarse para la recuperación de claves.
Si alguno de los certificados ha expirado o no es válido, quite el certificado de Key Recovery Agent inválido y asigne uno nuevo. Es posible que necesite emitir un nuevo certificado de Key Recovery Agent antes de poder registrarlo con la CA.
Para obtener más información, consulte http://go.microsoft.com/fwlink/?LinkId=95698.
Para confirmar que el archivado y recuperación de claves funciona correctamente:
En el equipo donde se hospede la CA, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Entidad de certificación.
En el árbol de consola, haga clic con el botón secundario en el nombre de la entidad de certificación (CA) y, a continuación, haga clic en Propiedades.
Haga clic en la ficha Agentes de recuperación.
Confirme que todos los certificados de Key Recovery Agent sean válidos.
En el contenedor de plantillas de certificado, confirme que el certificado de cifrado tenga seleccionada la opción Archivar clave privada de cifrado de sujeto en la ficha Control de solicitudes.
Abra el complemento Certificados de la cuenta de usuario que posea permisos para inscribir un certificado basado en esta plantilla de certificado.
En el árbol de consola, haga clic con el botón secundario en Personal, seleccione Todas las tareas y haga clic en Solicitar un nuevo certificado para iniciar el asistente para inscripción de certificados.
Inscríbase a un certificado basado en la plantilla de cifrado y confirme que la inscripción se completa correctamente y que no se detectan errores.
Cuando se complete la inscripción, abra el complemento Entidad de certificación.
En el árbol de consola, haga clic en Certificados emitidos.
Busque la entrada del certificado que acabe de emitir y agregue la columna Clave archivada a la lista de visualización de complementos.
Confirme que la palabra Sí aparezca en la columna Clave archivada del certificado que se haya emitido.
Target | Microsoft.Windows.CertificateServices.CARole.6.3 |
Category | EventCollection |
Enabled | True |
Event_ID | 85 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.3.CertSvcEvents.85" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.3" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">85</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>