Eliminación del certificado de entidad de certificación de directiva común federal de Ee. UU. de la raíz de confianza de Microsoft

En este artículo se describe la eliminación del certificado raíz de la ENTIDAD de certificación de directivas comunes federales de ee. UU. en la actualización del certificado raíz de Microsoft del 24 de mayo de 2022. En este artículo también se proporcionan soluciones para evitar o resolver problemas que se producirán si las empresas no han pasado al certificado raíz de ca G2 de la directiva común federal antes de la eliminación del certificado raíz de la CA de la directiva común federal de la lista de confianza de certificados de Microsoft (CTL) el 24 de mayo de 2022.

Nota:

El certificado raíz que está quitando la actualización del certificado raíz de Microsoft se denomina "CA de directiva común federal" y se conoce normalmente como el certificado raíz "G1", aunque "G1" no aparezca en el nombre del certificado.

El certificado raíz que reemplaza el certificado raíz "G1" se denomina "Federal Common Policy CA G2" y se conoce normalmente como el certificado raíz "G2".

Se aplica a: Todas las versiones de Windows

Introducción

El equipo de Estados Unidos PKI federal (FPKI) que rige la CA de directiva común federal de Estados Unidos solicitó formalmente la eliminación del certificado raíz "G1" que se muestra a continuación del Programa raíz de confianza de Microsoft.

Nombre de certificado	Huella digital SHA1
Entidad de certificación de directiva común federal	905F942FD9F28F679B378180FD4F846347F645C1

Las aplicaciones y las operaciones que dependen del certificado raíz "G1" producirán un error de uno a siete días después de recibir la actualización del certificado raíz. Los administradores deben migrar desde el certificado raíz "G1" existente al certificado raíz de reemplazo "G2" que se muestra a continuación como anclaje de confianza federal de su agencia.

Nombre de certificado	Huella digital SHA1
Federal Common Policy CA G2	99B4251E2EEE05D8292E8397A90165293D116028

Nota:

El certificado raíz "G2" se puede descargar directamente desde la descarga del archivo crt del certificado raíz "G2".

Posibles problemas

Después de quitar el certificado raíz "G1", los usuarios de entornos que no han pasado al certificado raíz "G2" pueden experimentar problemas que afectan a los escenarios siguientes:

• Conexiones TLS o SSL.
• Extensiones de correo de Internet seguras o multipropósito (S/MIME) o correo electrónico seguro.
• Documentos firmados en Microsoft Word. (Los archivos PDF y Adobe Acrobat no se verán afectados).
• Autenticación de cliente, incluido el establecimiento de conexiones VPN.
• Tarjeta inteligente o acceso autenticado de PIV, incluido el acceso de distintivo que se basa completamente en el software de Windows.

Los siguientes mensajes de error se pueden mostrar en ventanas emergentes y cuadros de diálogo:

• El certificado de seguridad del sitio no es de confianza.

• El certificado de seguridad presentado por este sitio web no fue emitido por una ENTIDAD de certificación de confianza.

• Cadena de certificados procesada pero terminada en un certificado ROOT que no es de confianza para el proveedor de confianza.

• Error de encadenamiento de certificados.

• Una entidad que no es de confianza ha emitido la cadena de certificados.

• El certificado o la cadena asociada no son válidos.

Pasos para evitar estos problemas

1. Compruebe los cambios en la sección Configuración de prueba para probar lo que ocurre con la eliminación de "G1" de la CTL antes de la fecha de lanzamiento de la actualización.
2. Después de usar la sección configuración de prueba para comprobar que todos los escenarios pertinentes funcionan, siga los pasos descritos en la sección "Configuración de configuración de producción" de la configuración de producción.

Nota:

Los escenarios de aplicación como servicio, como Azure SQL o App de Azure Service que se encadenan al certificado raíz "G1" producirán un error después de quitar el certificado raíz "G1".

Configuración de prueba

Antes del lanzamiento de la actualización, los administradores pueden usar los pasos siguientes para configurar directamente el Registro de Windows en una ubicación preliminar o almacenada provisionalmente de la actualización del certificado más reciente. También puede configurar las opciones mediante la directiva de grupo. Consulte Para configurar una plantilla administrativa personalizada para un GPO.

Nota:

La versión preliminar de la versión de mayo que incluye la eliminación del certificado raíz "G1" se almacena provisionalmente el 11 de mayo de 2022.

1. Abra regedit y vaya a la siguiente subclave del Registro:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate

2. Agregue o modifique los siguientes valores del Registro:

   • Establezca RootDirUrl en http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/test.
   • Establezca SyncFromDirUrl en http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/test .

3. Elimine los siguientes valores del Registro:

   • EncodedCtl
   • LastSyncTime

4. Elimine la HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates subclave. Este paso elimina todos los certificados raíz almacenados.

   Nota:

   Al eliminar todos los certificados raíz almacenados de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates, puede asegurarse de que se quitan todos los certificados raíz almacenados. Esta operación obliga a Windows a descargar nuevos certificados raíz si se usan cadenas de infraestructura de clave pública (PKI) asociadas que tienen nuevas propiedades (si se modifican). Dado que se quita el certificado raíz "G1", este certificado raíz no se descargará.

5. Compruebe todos los escenarios en los que se encadene el certificado raíz "G1", incluidos los que aparecen en Posibles problemas.

Nota:

El vínculo al sitio de prueba nunca cambia. Sin embargo, los cambios que se almacenan provisionalmente en el sitio de prueba cambian de mes a mes.

Configuración de la configuración de producción

Los pasos siguientes configuran directamente el Registro de Windows para usar la versión de producción del CTL si se usa la dirección URL de prueba de la sección anterior:

1. Abra regedit y vaya a la siguiente subclave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate

2. Agregue o modifique los siguientes valores del Registro:

   • Establezca RootDirUrl en http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en.
   • Establezca SyncFromDirUrl en http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en .

3. Elimine los siguientes valores del Registro:

   • EncodedCtl
   • LastSyncTime

4. Elimine la subclave del HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates Registro. Este paso elimina todos los certificados raíz almacenados.

Configuración del certificado raíz "G2"

Los administradores deben configurar el certificado raíz "G2" según las instrucciones siguientes antes de quitar el certificado raíz "G1" mediante la actualización del certificado raíz fuera de banda (OOB).

1. Siga las instrucciones de Obtener y comprobar el certificado raíz de FCPCA para descargar e instalar el certificado raíz "G2" en todos los equipos del grupo de trabajo, miembro y controlador de dominio de Windows.
2. Hay varias maneras de implementar el almacén raíz en dispositivos empresariales. Consulte la sección "Soluciones de Microsoft" en Distribuir a sistemas operativos.

Nota:

En las empresas que tienen dependencias de certificación cruzada para inicios de sesión de tarjetas inteligentes u otros escenarios en dispositivos Windows, pero que no tienen acceso a Internet, consulte las secciones "¿Necesito distribuir los certificados de ENTIDAD de certificación intermedia?" y "Certificados emitidos por la CA G2 de la Directiva Común Federal G2" de Distribuir certificados intermedios.

Muchas empresas federales deben tener los certificados de entidad de certificación del Tesoro de EE. UU. o los certificados de entidad de certificación de Servicios administrados de Entrust. Ambos certificados de ENTIDAD de certificación se documentan en el artículo "Distribuir los certificados de CA", como se indica a continuación:

Importante: Para asegurarse de que los certificados de credenciales de PIV emitidos por el SSP de Entrust Federal antes del 13 de agosto de 2019 se validan en la CA G2 de la Directiva Común Federal, deberá distribuir un certificado de CA intermedio adicional a los sistemas que no puedan realizar la validación de rutas de acceso dinámica. Obtenga más información en nuestra página De preguntas más frecuentes.

Pasos manuales para obtener el CTL

Para entornos desconectados en los que los dispositivos Windows no pueden acceder a Windows Update o a Internet, siga estos pasos para obtener manualmente el CTL:

1. Descargue el CTL:
   1. Ejecute certutil -generateSSTFromWU c:\roots\trustedcerts.sst.
   2. Al seleccionar el archivo trustedcerts.sst , debe abrir el complemento Administrador de certificados para mostrar el CTL completo.
2. Descargar lista de certificados no permitidos:
   1. Ejecute certutil -syncwithwu c:\roots.
   2. Ejecute certutil -verifyctl -v c:\roots\disallowedstl.cab c:\roots\disallowedcert.sst.
   3. Al seleccionar disallowedcert.sst, debe abrir el complemento Administrador de certificados para mostrar todas las raíces de la lista No permitidos.
3. Para evaluar la configuración que no se muestra en la interfaz de usuario, convierta el archivo SST en un archivo de texto. Para ello, ejecute certutil -dump -gmt -v c:\roots\trustedcerts.sst > c:\roots\trustedcerts.txt.
4. Descargue el certificado raíz "G2" de Obtener y comprobar el certificado raíz de FCPCA y agréguelo a su CTL personal.

Solución y análisis de problemas de encadenamiento raíz

Los siguientes datos pueden ayudarle a solucionar problemas de operaciones afectadas por la eliminación del certificado raíz "G1":

1. Habilite el registro CAPI2. Consulta Solución de problemas de PKI de Windows y Diagnósticos de CAPI2.

2. Cree filtros en Visor de eventos en los siguientes registros de eventos, orígenes de eventos e identificadores de eventos.

   En los registros de aplicaciones y servicios\Microsoft\Windows\CAPI2\Operational log que usa CAPI2 como origen:

   • Id. de evento 11: este evento muestra errores de encadenamiento.
   • Id. de evento 30: este evento muestra errores de cadena de directivas, como errores de NTAuth y comprobación de directivas SSL.
   • Id. de evento 90: este evento muestra todos los certificados que se usaron para compilar todas las cadenas de certificados posibles en el sistema.
   • Id. de evento 40–43: esta serie de eventos muestra todas las CRL almacenadas y los certificados de eventos a los que se accede a través de rutas de acceso de AIA.
   • Id. de evento 50–53: esta serie de eventos muestra todos los intentos de acceder a las CRL desde la red. El evento está relacionado con el siguiente mensaje de error:

     Cadena de certificados procesada, pero terminada en un certificado ROOT que no es de confianza para el proveedor de confianza

   En el registro de eventos del sistema que usa Microsoft-Windows-Kerberos-Key-Distribution-Center como origen:

   • Error 19: Este evento indica que se intentó usar un inicio de sesión de tarjeta inteligente, pero el KDC no puede usar el protocolo PKINIT porque falta un certificado adecuado.
   • Evento 21: No se pudo compilar una cadena de certificados en una entidad raíz de confianza.
   • Evento 29: El Centro de distribución de claves (KDC) no encuentra un certificado adecuado para usarlo para los inicios de sesión de tarjeta inteligente o no se pudo comprobar el certificado KDC. Es posible que el inicio de sesión de tarjeta inteligente no funcione correctamente si este problema no se resuelve. Para corregir este problema, compruebe el certificado KDC existente mediante Certutil.exe o inscríbase para un nuevo certificado KDC.