Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona una solución para corregir un problema por el que se produce un error al renovar el certificado del Agente de inscripción de Exchange (solicitud sin conexión) mediante NDES.
Se aplica a: Windows Server 2008 R2 Service Pack 1
Número de KB original: 2712186
Síntomas
Aparece el error "Estado: no disponible" al intentar renovar el certificado "Agente de inscripción de Exchange (solicitud sin conexión)" usado por NDES, desde la consola del almacén de certificados del equipo en MMC.
Causa
El Servicio de inscripción de dispositivos de red (NDES) solicita dos certificados según las dos plantillas de certificado siguientes configuradas con el "Propósito previsto" (Usos mejorados de claves) establecido en "Agente de solicitud de certificado":
- Cifrado CEP.
- Agente de inscripción de Exchange (solicitud sin conexión).
Al instalar el servicio NDES en un servidor de Windows Server 2008, requiere que proporcione un usuario de dominio que el NDES usará para autorizar solicitudes de certificado. Por lo tanto, hay diferentes contextos de seguridad que se deben tener en cuenta: el contexto del instalador (que instala el NDES) y el contexto de servicio (el usuario de dominio que se proporciona durante la instalación y en el que se ejecuta NDES más adelante). El certificado del Agente de inscripción se inscribe durante la instalación y en el contexto del instalador, pero el NDES lo cargará más adelante en el contexto del servicio. Por el motivo anterior, el certificado del Agente de inscripción (y el certificado de cifrado CEP) debe almacenarse en el almacén común al que puede acceder ese contexto y se elige el almacén de certificados del equipo.
Sin embargo, dado que el "Tipo de sujeto" de la plantilla de certificado "Agente de inscripción de Exchange (solicitud sin conexión)" está establecido en "Usuario", no podremos renovar la plantilla de certificado "Agente de inscripción de Exchange (solicitud sin conexión)" en la consola MMC (almacén de certificados del equipo) debido a un tipo de asunto no coincidente. El error "Estado: no disponible" se devolvería en esta situación.
Nota: Este problema no se produce al intentar renovar la plantilla de certificado "Cifrado CEP", ya que su tipo de asunto está establecido en "Equipo u otro dispositivo". Por lo tanto, la renovación de este certificado puede realizarse correctamente siempre que tenga permiso suficiente en el sistema y la plantilla de certificado.
Solución
Use la herramienta certreq.exe para renovar el certificado del Agente de inscripción de Exchange (solicitud sin conexión) con los pasos siguientes:
Cree un archivo denominado Request.inf con el siguiente contenido:
[Versión]
Signature="$Windows NT$"
[NewRequest]
RenewalCert="<Certificate Hash>"
MachineKeySet=TRUENota:
El archivo INF contiene opciones de entrada que definen los parámetros de solicitud de certificado. En el archivo INF anterior, indica a la herramienta de línea de comandos certreq.exe renovar el certificado con el hash de certificado especificado. Puede obtener el hash de certificado del Agente de inscripción de Exchange (solicitud sin conexión) copiando el valor de la extensión "t h umbprint " del certificado recuperada de la pestaña "Detalles" del certificado. Por ejemplo, si la huella digital del certificado es "5 3 60 8f 10 49 1d 50 bf a2 9f 06 17 96 8a 93 05 13 cc b9 55", tendremos que editar el contenido en las líneas siguientes:
[Versión]
Signature="$Windows NT$"
[NewRequest]
RenewalCert="53 60 8f 10 49 1d 50 bf a2 9f 06 17 96 8a 93 05 13 cc b9 55"
MachineKeySet=TRUENota:
MachineKeySet se establece en "True", por lo que el certificado y su clave privada se almacenarán en el almacén de certificados del equipo.
Nota:
Para abrir el almacén de certificados del equipo, consulte el siguiente artículo de technet: Agregar el complemento Certificados a un MMC Agregar el complemento certificados a un MMC.
Ejecute los tres comandos siguientes para renovar el certificado del Agente de inscripción anterior:
CertReq.exe -New Request.inf Certnew.req CertReq.exe -Submit Certnew.req Certnew.cer CertReq.exe -Accept Certnew.cerNota:
- Necesitará permisos administrativos y permisos de inscripción de certificados para realizar las acciones anteriores. Si la solicitud de inscripción necesita esperar la aprobación del administrador de CA, póngase en contacto con el administrador de CA para aprobar la solicitud. O bien, proporcione el archivo de solicitud generado en el primer comando al administrador de CA y solicite un certificado para que podamos usar el tercer comando para instalar el certificado.
- Los pasos anteriores se aplican a la situación en la que se usa la plantilla de certificado predeterminada para NDES. En caso de que NDES esté configurado para usar una plantilla específica, cambie el contenido del archivo inf en consecuencia. Para obtener más información sobre la sintaxis del archivo de solicitud, consulte el siguiente artículo:
Apéndice 3: sintaxis de Certreq.exe - Al ejecutar el primer comando anterior, aparecerá un cuadro de diálogo para permitirnos confirmar el certificado que se debe renovar. Asegúrese de que está seleccionado el certificado del Agente de inscripción anterior y haga clic en Aceptar.
- En el segundo comando, aparecerá otro cuadro de diálogo para permitirnos elegir el servidor de CA para emitir el certificado del Agente de inscripción renovado. Seleccione la CA adecuada y haga clic en Aceptar.