Compartir a través de

Es posible que los certificados de CA raíz válidos distribuidos mediante GPO aparezcan intermitentemente como que no son de confianza

En este artículo se proporciona una solución alternativa para un problema en el que los certificados de ENTIDAD de certificación raíz válidos que se distribuyen mediante el uso de GPO aparecen como no de confianza.

Número de KB original: 4560600

Síntomas

Importante

Los problemas de certificados raíz (CA) que no son de confianza pueden deberse a numerosos problemas de configuración de PKI. En este artículo se muestra solo una de las posibles causas del certificado de entidad de certificación raíz que no es de confianza.

Varias aplicaciones que usan certificados y infraestructura de clave pública (PKI) pueden experimentar problemas intermitentes, como errores de conectividad, una o dos veces por día o semana. Estos problemas se producen debido a la comprobación errónea del certificado de entidad final. Las aplicaciones afectadas pueden devolver errores de conectividad diferentes, pero todos tendrán errores de certificado raíz que no son de confianza en común. A continuación se muestra un ejemplo de este error:

Hex Decimal Simbólico Versión de texto
0x800b0109 -2146762487 (CERT_E_UNTRUSTEDROOT) Cadena de certificados procesada, pero terminada en un certificado raíz

Cualquier aplicación habilitada para PKI que use la arquitectura del sistema CryptoAPI puede verse afectada con una pérdida intermitente de conectividad o un error en la funcionalidad dependiente de PKI/Certificate. A partir de abril de 2020, la lista de aplicaciones que se sabe que se ven afectadas por este problema incluye, pero no es probable que se limite a:

  • Citrix
  • Servicio de Escritorio remoto (RDS)
  • Skype
  • Exploradores web

Los administradores pueden identificar y solucionar problemas de certificados de entidad de certificación raíz que no son de confianza inspeccionando el registro CAPI2.

Centre sus esfuerzos de solución de problemas en errores de directiva de cadena de compilación o comprobación de la cadena en el registro CAPI2 que contiene las siguientes firmas. Por ejemplo:

Error <DateTime> CAPI2 11 Build Chain
Error <DateTime> CAPI2 30 Verify Chain Policy

Resultado Una cadena de certificados procesada, pero terminada en un certificado raíz que no es de confianza para el proveedor de confianza.
[value] 800b0109

Causa

Los problemas de certificado de entidad de certificación raíz que no son de confianza pueden producirse si el certificado de entidad de certificación raíz se distribuye mediante la siguiente directiva de grupo (GP):

Configuración del>equipo Configuración de Windows Opciones>de>seguridad Directivas de clave>pública Directivas de certificación raíz de confianza

Detalles de la causa principal

Al distribuir el certificado de entidad de certificación raíz mediante GPO, el contenido de HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates se eliminará y escribirá de nuevo. Esta eliminación es por diseño, ya que es cómo cambia el registro de GP.

Los cambios en el área del Registro de Windows que está reservado para los certificados de CA raíz notificarán al componente crypto API de la aplicación cliente. Y la aplicación comenzará a sincronizarse con los cambios del Registro. La sincronización es cómo se mantienen actualizadas las aplicaciones y se hace consciente de la lista más reciente de certificados de entidad de certificación raíz válidos.

En algunos escenarios, el procesamiento de directivas de grupo tardará más tiempo. Por ejemplo, muchos certificados de entidad de certificación raíz se distribuyen a través de GPO (similar a muchos firewalls o Applocker directivas). En estos escenarios, es posible que la aplicación no reciba la lista completa de certificados de entidad de certificación raíz de confianza.

Por este motivo, los certificados de entidad final que se encadenan a los certificados de entidad de certificación raíz que faltan se representarán como que no son de confianza. Y varios problemas relacionados con el certificado comenzarán a producirse. Este problema es intermitente y se puede resolver temporalmente al volver a aplicar el procesamiento o reinicio del GPO.

Si el certificado de entidad de certificación raíz se publica mediante métodos alternativos, es posible que no se produzcan los problemas debido a la situación mencionada afore.

Solución alternativa

Microsoft conoce este problema y está trabajando para mejorar la experiencia de la API criptográfica y del certificado en una versión futura de Windows.

Para solucionar este problema, evite distribuir el certificado de entidad de certificación raíz mediante GPO. Puede incluir la selección de destino de la ubicación del Registro (por HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificatesejemplo, ) para entregar el certificado de entidad de certificación raíz al cliente.

Al almacenar el certificado de entidad de certificación raíz en un almacén de certificados de ENTIDAD de certificación raíz diferente, físico y raíz, se debe resolver el problema.

Ejemplos de métodos alternativos para publicar certificados de entidad de certificación raíz

Método 1: use la herramienta certutil de línea de comandos y raíz el certificado de CA almacenado en el archivo rootca.cer:

certutil -addstore root c:\tmp\rootca.cer

Nota:

Los administradores locales solo pueden ejecutar este comando y solo afectará a una sola máquina.

Método 2: Inicie certlm.msc (la consola de administración de certificados para la máquina local) e importe el certificado de CA raíz en el almacén físico del Registro .

Captura de pantalla de la consola de administración de certificados en la que está seleccionado Certificados en Registro.

Nota:

Los administradores locales solo pueden iniciar la consola certlm.msc. Además, la importación solo afectará a una sola máquina.

Método 3: Usar las preferencias de GPO para publicar el certificado de entidad de certificación raíz, tal como se describe en Preferencias de directiva de grupo

Para publicar el certificado de entidad de certificación raíz, siga estos pasos:

  1. Importe manualmente el certificado raíz en una máquina mediante el certutil -addstore root c:\tmp\rootca.cer comando (consulte el método 1).

  2. Abra GPMC.msc en el equipo que ha importado el certificado raíz.

  3. Edite el GPO que desea usar para implementar la configuración del Registro de la siguiente manera:

    1. Edite la ruta de acceso del Registro de configuración de Windows configuración > del equipo a la ruta de acceso del Registro > de configuración > > del equipo al certificado raíz.
    2. Agregue el certificado raíz al GPO tal como se muestra en la captura de pantalla siguiente.

  4. Implemente el nuevo GPO en las máquinas donde se debe publicar el certificado raíz.

    Captura de pantalla de la ventana Editor de administración de directivas de grupo con el certificado raíz seleccionado.

Cualquier otro método, herramienta o solución de administración de cliente que distribuya certificados de CA raíz escribiendolos en la ubicación HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates funcionará.

Referencias