Es posible que servicios de certificados no se inicien en un equipo que ejecute Windows Server 2003 o Windows 2000

  • Artículo

En este artículo se proporciona una solución a un problema por el que los Servicios de certificados (CS) no se pueden iniciar en un equipo que ejecuta Windows Server 2003 o Windows 2000.

Se aplica a: Windows 10 (todas las ediciones), Windows Server 2012 R2
Número de KB original: 842210

Síntomas

En un equipo que ejecuta Microsoft Windows Server 2003 o Microsoft Windows 2000 Server, es posible que servicios de certificados no se inicien.

Además, es posible que el siguiente mensaje de error se registre en el registro de la aplicación en Visor de eventos.

Causa

Antes de que se inicie Certificate Services, enumera todas las claves y certificados que se han emitido a la entidad de certificación (CA), incluso si las claves y los certificados han expirado. Certificate Services no se iniciará si alguno de estos certificados se ha quitado del almacén de certificados personal del equipo local.

Solución

Para resolver este problema, compruebe que el número de huellas digitales de certificado en el registro es igual al número de certificados que se han emitido a la entidad de certificación. Si faltan certificados, importe los certificados que faltan en el almacén de certificados personal del equipo local. Después de importar los certificados que faltan, use el certutil -repairstore comando para reparar el vínculo entre los certificados importados y el almacén de claves privado asociado.

Para ello, use uno de los métodos siguientes, en función de la versión del sistema operativo en el que se ejecute el equipo.

Método 1: Windows Server 2003

Para resolver este problema en un equipo basado en Windows Server 2003, siga estos pasos.

Paso 1: Buscar certificados que faltan

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información, consulte Copia de seguridad y restauración del Registro en Windows.

Las huellas digitales del certificado indican todos los certificados que se han emitido a esta CA. Cada vez que se renueva un certificado, se agrega una nueva huella digital de certificado a la lista CaCertHash del Registro. El número de entradas de esta lista debe ser igual al número de certificados que se emiten a la CA y que aparecen en el almacén de certificados personal del equipo local.

Para buscar certificados que faltan, siga estos pasos:

  1. Seleccione Inicio, ejecutar, escriba regedity, a continuación, seleccione Aceptar.

  2. Busque y seleccione la siguiente subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name*

  3. En el panel derecho, haga doble clic en CaCertHash.

  4. Anote el número de huellas digitales de certificado que contiene la lista de datos Valor .

  5. Inicie el símbolo del sistema.

  6. Escriba el comando siguiente y presione ENTRAR: certutil -store

    Compare el número de certificados que aparecen en el almacén de certificados personal del equipo local con el número de huellas digitales de certificado que aparecen en la entrada del Registro CaCertHash. Si los números son diferentes, vaya al Paso 2: Importar los certificados que faltan. Si los números son los mismos, vaya al Paso 3: Instalar el paquete de herramientas de administración de Windows Server 2003.

Paso 2: Importar los certificados que faltan

  1. Seleccione Inicio, Todos los programas, Herramientas administrativas y Certificados.

    Si certificados no aparecen en la lista, siga estos pasos:

    1. Seleccione Inicio, ejecutar, escriba mmc y, a continuación, seleccione Aceptar.

    2. En el menú Archivo, seleccione Agregar o quitar complemento.

    3. Seleccione Agregar.

    4. En la lista Complemento , seleccione Certificados y, a continuación, seleccione Agregar.

      Si aparece el cuadro de diálogo Complemento Certificados , seleccione Mi cuenta de usuario y, a continuación, seleccione Finalizar.

    5. Seleccione Cerrar y, luego, Aceptar.

      El directorio Certificados ahora se agrega a Microsoft Management Console (MMC).

    6. En el menú Archivo , seleccione Guardar como, escriba Certificados en el cuadro Nombre de archivo y, a continuación, seleccione Guardar.

      Para abrir Certificados en el futuro, seleccione Inicio, Todos los programas, Herramientas administrativas y Certificados.

  2. Expanda Certificados, expanda Personal, haga clic con el botón derecho en Certificados, seleccione Todas las tareasy, a continuación, seleccione Importar.

  3. En la página de bienvenida, seleccione Siguiente.

  4. En la página Archivo para importar , escriba la ruta de acceso completa del archivo de certificado que desea importar en el cuadro Nombre de archivo y, a continuación, seleccione Siguiente. En su lugar, seleccione Examinar, busque el archivo y, a continuación, seleccione Siguiente.

  5. Si el archivo que desea importar es un intercambio de información personal: PKCS #12 (*. PFX), se le pedirá la contraseña. Escriba la contraseña y, a continuación, seleccione Siguiente.

  6. En la página Almacén de certificados , seleccione Siguiente.

  7. En la página Finalización del Asistente para importación de certificados , seleccione Finalizar.

Nota:

La entidad de certificación siempre publica sus certificados de CA en la %systemroot%\System32\CertSvc\CertEnroll carpeta . Es posible que encuentre los certificados que faltan en esa carpeta.

Paso 3: Instalar el paquete de herramientas de administración de Windows Server 2003

Después de importar los certificados, debe usar la herramienta Certutil para reparar el vínculo entre los certificados importados y el almacén de claves privado asociado. La herramienta Certutil se incluye en las herramientas de certificado de ca. Las herramientas de certificado de CA de Windows Server 2003 se encuentran en el paquete de herramientas de administración de Windows Server 2003. Si las herramientas de certificado de ca no están instaladas en el equipo, instálelas ahora.

Después de instalar el paquete de herramientas de administración de Windows Server 2003, siga estos pasos:

  1. Inicie el símbolo del sistema.

  2. Escriba lo siguiente y presione ENTRAR:
    cd %systemroot%\system32\certsrv\certenroll

  3. Anote el certificado en la carpeta Certenroll que tenga un aspecto similar al siguiente: Your_Server. Your_Domain.com_rootca.crt

  4. Escriba los comandos siguientes y presione ENTRAR después de cada comando: %systemroot%\system32\certutil -addstore my %systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crt%systemroot%\System32\certutil -dump %systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crtYour_Server.Your_Domain.com_rootca.crt es el nombre del certificado en la carpeta Certenroll que anotó en el paso 3.

  5. En la salida del último comando, cerca del final, verá una línea similar a la siguiente:
    Key Id Hash(sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
    Los datos hash del identificador de clave son específicos del equipo. Tome nota de esta línea.

  6. Escriba el siguiente comando, incluidas las comillas y, a continuación, presione ENTRAR:
    %systemroot%\system32\certutil -repairstore my "Key_Id_Hash_Data"

    En este comando, Key_Id_Hash_Data es la línea que anotó en el paso 4. Por ejemplo, escriba lo siguiente:
    %systemroot%\system32\certutil -repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"

    A continuación, recibirá la siguiente salida:

    CertUtil: el comando -repairstore se completó correctamente.

  7. Para comprobar los certificados, escriba lo siguiente y presione ENTRAR:
    %systemroot%\system32\certutil -verifykeys Después de ejecutar este comando, recibirá la siguiente salida:

    CertUtil: el comando -verifykeys se completó correctamente.

Paso 5: Iniciar el servicio Servicios de certificados

  1. Seleccione Inicio, seleccione Herramientas administrativas y, a continuación, seleccione Servicios.
  2. Haga clic con el botón derecho en Servicios de certificados y, a continuación, seleccione Iniciar.

Método 2: Windows 2000

Para resolver este problema en un equipo basado en Windows 2000, siga estos pasos.

Paso 1: Buscar certificados que faltan

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información, consulte Copia de seguridad y restauración del Registro en Windows.

Las huellas digitales del certificado indican todos los certificados que se han emitido a esta CA. Cada vez que se renueva un certificado, se agrega una nueva huella digital de certificado a la lista CaCertHash del Registro. El número de entradas de esta lista debe ser igual al número de certificados que se emiten a la CA y que aparecen en el almacén de certificados personal del equipo local.

Para buscar certificados que faltan, siga estos pasos:

  1. Seleccione Inicio, ejecutar, escriba regedity, a continuación, seleccione Aceptar.

  2. Busque y seleccione la siguiente subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name*

  3. En el panel derecho, haga doble clic en CaCertHash.

  4. Anote el número de huellas digitales de certificado que contiene la lista de datos Valor .

  5. Inicie el símbolo del sistema.

  6. Escriba lo siguiente y presione ENTRAR: certutil -store

Compare el número de certificados que aparecen en el almacén de certificados personal del equipo local con el número de huellas digitales de certificado que aparecen en la entrada del Registro CaCertHash. Si los números son diferentes, vaya al Paso 2: Importar los certificados que faltan. Si los números son los mismos, vaya al Paso 3: Instalar el paquete de herramientas de administración de Windows Server 2003.

Paso 2: Importación de los certificados que faltan

  1. Seleccione Inicio, Programas, Herramientas administrativas y Certificados.

    Si certificados no aparecen en la lista, siga estos pasos:

    1. Seleccione Inicio, ejecutar, escriba mmc y, a continuación, seleccione Aceptar.
    2. En el menú Consola , seleccione Agregar o quitar complemento.
    3. Seleccione Agregar
    4. En la lista Complemento , seleccione Certificados y, a continuación, seleccione Agregar.

    Si aparece el cuadro de diálogo Complemento Certificados , seleccione Mi cuenta de usuario y, a continuación, seleccione Finalizar. 5. Seleccione Cerrar. 6. Seleccione Aceptar. 7. El directorio Certificates ahora se agrega a Microsoft Management Console (MMC). 8. En el menú Consola , seleccione Guardar como, escriba Certificados como nombre de archivo y, a continuación, seleccione Guardar.

    Para abrir Certificados en el futuro, seleccione Inicio, Programas, Herramientas administrativas y Certificados.

  2. Expanda Certificados, expanda Personal, haga clic con el botón derecho en Certificados, seleccione Todas las tareasy, a continuación, seleccione Importar.

  3. En la página de bienvenida, seleccione Siguiente.

  4. En la página Archivo para importar , escriba la ruta de acceso completa del archivo de certificado que desea importar en el cuadro Nombre de archivo y, a continuación, seleccione Siguiente. En su lugar, seleccione Examinar, busque el archivo y, a continuación, seleccione Siguiente.

  5. Si el archivo que desea importar es un intercambio de información personal: PKCS #12 (*. PFX), se le pedirá la contraseña. Escriba la contraseña y, a continuación, seleccione Siguiente.

  6. En la página Almacén de certificados , seleccione Siguiente.

  7. En la página Finalización del Asistente para importación de certificados , seleccione Finalizar.

Nota:

La entidad de certificación siempre publica sus certificados de CA en la %systemroot%\System32\CertSvc\CertEnroll carpeta . Es posible que encuentre los certificados que faltan en esa carpeta.

Paso 3: Instalar las herramientas certutil de Windows Server 2003

Después de importar los certificados, debe usar las Herramientas de certificados de CA de Windows Server 2003 para reparar el vínculo entre los certificados importados y el almacén de claves privado asociado.

Las versiones de Windows Server 2003 de Certutil.exe y Certreq.exe se incluyen en el paquete de herramientas de administración de Windows Server 2003. Para instalar las herramientas en un equipo basado en Windows 2000, primero debe instalar el paquete de herramientas de administración de Windows Server 2003 en un equipo que ejecute Windows Server 2003 o Microsoft Windows XP con Service Pack 1 (SP1) o con un Service Pack posterior. El Paquete de herramientas de administración de Windows Server 2003 no se puede instalar directamente en un equipo basado en Windows 2000.

Importante

Después de copiar las herramientas de certificado de CA de Windows Server 2003 en el equipo basado en Windows 2000, dos versiones de la herramienta Certutil residirán en el equipo basado en Windows 2000. No quite la herramienta Certutil de Windows 2000. Otros programas dependen de la versión de Windows 2000 de esta herramienta. Por ejemplo, el complemento MMC Certificados requiere la herramienta Certutil de Windows 2000. Además, no registre los archivos Certcli.dll y Certadm.dll de Windows Server 2003 en el equipo basado en Windows 2000.

Para usar las herramientas de certificado de CA de Windows Server 2003 en un equipo basado en Windows 2000, siga estos pasos:

  1. Descargar el paquete de herramientas de administración de Windows Server 2003

  2. Inicie sesión en un equipo que ejecute Windows Server 2003 o Windows XP con SP1 o con un Service Pack posterior.

  3. Instale el paquete de herramientas de administración de Windows Server 2003.

  4. En el Paquete de herramientas de administración de Windows Server 2003, busque los siguientes archivos y cópielos en un medio de almacenamiento extraíble, como un disco de 3,5 pulgadas:
    Certreq.exe
    Certutil.exe
    Certcli.dll
    Certadm.dll

  5. Inicie sesión en el equipo basado en Windows 2000 como administrador.

  6. Inserte el medio de almacenamiento extraíble que usó en el paso 4 en la unidad adecuada del equipo basado en Windows 2000.

  7. Inicie el símbolo del sistema.

  8. Cree una nueva carpeta y copie los archivos del medio de almacenamiento extraíble en la nueva carpeta. Para ello, escriba los siguientes comandos y presione ENTRAR después de cada comando:
    Cd\
    md W2k3tool
    cd w2k3tool
    copy Removable_Media_Drive_Letter:\cert*

    Nota:

    Para evitar conflictos con las versiones de Windows 2000 de la herramienta Certutil que ya están en el equipo, no incluya la carpeta W2k3tool en la ruta de acceso de búsqueda del sistema.

Después de copiar los archivos de herramientas de certificado de CA de Windows Server 2003 en el equipo basado en Windows 2000, siga estos pasos:

  1. Inicie el símbolo del sistema.

  2. Escriba lo siguiente y presione ENTRAR:
    cd %systemroot\system32\certsrv\certenroll

  3. Anote el certificado en la carpeta Certenroll que tenga un aspecto similar al siguiente:
    Your_Server.Your_Domain.com_rootca.crt

  4. Escriba los comandos siguientes y presione ENTRAR después de cada comando:
    Root_Drive_Letter:\w2k3tool\certutil -addstore my %systemroot%\system32\certsrv\certenroll\ Your_Server.Your_Domain.com_rootca.crt
    Root_Drive_Letter:\w2k3tool\certutil -dump %systemroot%\system32\certsrv\certenroll\ Your_Server.Your_Domain.com_rootca.crt

    Root_Drive_Letter es la letra del directorio raíz.

    Your_Server.Your_Domain.com_rootca.crt es el nombre del certificado en la carpeta Certenroll que anotó en el paso 3.

  5. En la salida del último comando, cerca del final, verá una línea similar a la siguiente: Key Id Hash(sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
    Los datos hash del identificador de clave son específicos del equipo. Tome nota de esta línea.

  6. Escriba el comando siguiente, incluidas las comillas y, a continuación, presione ENTRAR:
    Root_Drive_Letter:\w2k3tool\certutil -repairstore my "Key_Id_Hash_Data"
    En este comando, Key_Id_Hash_Data es la línea que anotó en el paso 5. Por ejemplo, escriba lo siguiente:
    c:\w2k3tool\certutil -repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"

    Una vez completado este comando, recibirá la siguiente salida:

    CertUtil: el comando -repairstore se completó correctamente.

  7. Para comprobar los certificados, escriba el siguiente comando y presione ENTRAR:
    Root_Drive_Letter:\w2k3tool\certutil -verifykeys

    Después de ejecutar este comando, recibirá la siguiente salida:

    CertUtil: el comando -verifykeys se completó correctamente.

Paso 5: Iniciar el servicio Servicios de certificados

  1. Seleccione Inicio, seleccione Herramientas administrativas y, a continuación, seleccione Servicios.
  2. Haga clic con el botón derecho en Servicios de certificados y, a continuación, seleccione Iniciar.

Más información

Debe retirar y reemplazar la entidad de certificación si se cumple una de las condiciones siguientes:

  • No se pueden encontrar los certificados que faltan.

  • Los certificados no se pueden volver a instalar.

  • El certutil -repairstore comando no se puede completar porque se han quitado las claves privadas. Para retirar y reemplazar la entidad de certificación, siga estos pasos:

    1. Revoque los certificados de la entidad de certificación que ha dejado de funcionar correctamente. Para ello, siga estos pasos:

      1. Inicie sesión como administrador en el equipo que emitió los certificados que desea revocar.
      2. Seleccione Inicio, Programas, Herramientas administrativas y Entidad de certificación.
      3. Expanda CA_Name y, a continuación, seleccione Certificados emitidos.
      4. En el panel derecho, seleccione el certificado que desea revocar.
      5. En el menú Acción , seleccione Todas las tareas y, a continuación, seleccione Revocar certificado.
      6. En la lista Código de motivo , seleccione el motivo para revocar el certificado y, a continuación, seleccione .

      Esto revocará todos los certificados emitidos por la entidad de certificación que ha dejado de funcionar correctamente.

    2. Publique la lista de revocación de certificados (CRL) en la entidad de certificación más alta. Para ello, siga estos pasos:

      1. Inicie sesión como administrador en el equipo que ejecuta la siguiente entidad de certificación más alta.
      2. Seleccione Inicio, Programas, Herramientas administrativas y Entidad de certificación.
      3. Expanda CA_Name y, a continuación, seleccione Certificados revocados.
      4. En el menú Acción , seleccione Todas las tareas y, a continuación, seleccione Publicar.
      5. Seleccione para sobrescribir la CRL publicada anteriormente.

    3. Si la entidad de certificación que ha dejado de funcionar correctamente se ha publicado en los servicios de Active Directory, quítelo. Para quitar la entidad de certificación de Active Directory, siga estos pasos:

      1. Inicie el símbolo del sistema.
      2. Escriba lo siguiente y presione ENTRAR:
        certutil -dsdel CA_Name

    4. Quite Certificate Services del servidor donde la ca ha dejado de funcionar correctamente. Para ello, siga estos pasos:

      1. Seleccione Inicio, seleccione Configuración y, a continuación, seleccione Panel de control.
      2. Haga doble clic en Agregar o quitar programas y, a continuación, seleccione Agregar o quitar componentes de Windows.
      3. En la lista Componentes , haga clic para desactivar la casilla Servicios de certificados , seleccione Siguiente y, a continuación, seleccione Finalizar.

    5. Instale Servicios de certificados. Para ello, siga estos pasos:

      1. Seleccione Agregar o quitar componentes de Windows.
      2. En la lista Componentes , active la casilla Servicios de certificados, seleccione Siguiente y, a continuación, seleccione Finalizar.

    6. Todos los usuarios, los equipos o los servicios con certificados emitidos por la CA que ha dejado de funcionar correctamente deben inscribirse para los certificados de la nueva CA.

Nota:

Si este problema se produce en la entidad de certificación raíz de la jerarquía de infraestructura de clave pública (PKI) y no se puede reparar el problema, tendrá que reemplazar toda la jerarquía PKI. Para obtener más información sobre cómo quitar la jerarquía PKI, consulte Retirada de una entidad de certificación empresarial de Windows y eliminación de todos los objetos relacionados.