none
Problemas con entidades emisoras de certificados RRS feed

  • Pregunta

  • Hola,

    Antes de todo comentar que es nuevo para mi todo este mundo de las Entidades Emisoras de Certificados y gracias de antemano por las respuestas recibidas en comentarios anteriores, me ha sido de gran ayuda.

    Instalo en un Server2003 los Servicios de Certificate Server y el IIS, el tipo de Entidad emisora de certificados que creo es Entidad Emisora de Certificados subordinada de empresa. (Quiero usar targetas inteligentes para loguear usuaris de TS).

    Hasta ahi todo perfecto, cuando acabo de instalar me sale un mensaje:

    "La instalación de servicios de Certificate Server no se completó. Para finalizar la instalación utitlize el archivo de solicitud "C:\servidor.dominio.local_certificado.req", a fin de obtener un certificado de la entidad emisora primaria. Luego use el complemento Entidad emisora de Certificados prara instalar el certificado. Haga clic con el botón secundario del mouse en el nodo con el nombre de la entidad emisora y luego haga clic en Instalar certificado de entidad emisora."

    En otro servidor, independiente, con win2003, sin conexion a red ni nada Instalo los Servicios de Certificate Server y el tipo de Entidad que creo es Entidad emisora de certificados raiz de empresa.

    Me copio el archivo.req del primer servidor y me lo llevo al segundo servidor.

    Desde la entidad emisora de Certificados le doy a Enviar una nueva solicitud y selecciono el archivo. Me lo pone en pendientes, le doy a emitir y ya me sale en emitidos, lo exporto en formato .pb7 y me lo vuelvo a llevar al primier servidor.

    Desde este voy otra vez a la Entidad Emisora de Certificados y le doy a Instalar el Certificado de la Entidad emisora de certificados.

    Y aquí me salen los siguiente errores:

    "No se encuentra en certificado de CN=base para crear una cadena de certificados. ¿Desea instalar este certificado ahora? No ha podido crearse una cadena de certificados en una entidad emisora de raiz de confianza. 0x800b010a (-2146762486)." Aceptar o Cancelar.

    Le doy a aceptar y luego me sale:

    "No ha podido crearse una cadena de certificados en una entidad emisora raiz de confianza 0x800b010a (-2146762486)."

    Alguien se ha encontrado con el mismo caso o similar, algun caso practico para probarlo, etc .. Gracias de antemano

    Un saludo.

     

     

    jueves, 25 de marzo de 2010 10:49

Respuestas

  • En el servidor de la CA subordinada, debe estar instalado primero el certficado de la CA raíz.

    Específicamente como certificado de CA Raiz.

    No va a aceptar un certificado de una CA en la cual no confía :-)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    jueves, 25 de marzo de 2010 12:37
    Moderador
  • dballeste, la confguración de una cadena de CAs no es justamente sencilla, debes informarte bastante sobre el tema, para poder comenzar antes de implementar, por el diseño que necesitarás.

    Cuando se va a verificar un certificado, es necesario acceder a la CRL para verificar que no fue revocado. Y eso es lo que te está diciendo el mensaje de error justamente

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    jueves, 25 de marzo de 2010 18:10
    Moderador

Todas las respuestas

  • En el servidor de la CA subordinada, debe estar instalado primero el certficado de la CA raíz.

    Específicamente como certificado de CA Raiz.

    No va a aceptar un certificado de una CA en la cual no confía :-)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    jueves, 25 de marzo de 2010 12:37
    Moderador
  • Ya he instalado el certificado de la CA raiz en el servidor de la CA subordinada.

    Ahora me sale otro error al intentar iniciar el servicio:

    "La función de revocación no puede comprovar la revocación debido a que el servidor de revocación esta desconectado 0x80092013          (-2146885613) "

    jueves, 25 de marzo de 2010 16:05
  • dballeste, la confguración de una cadena de CAs no es justamente sencilla, debes informarte bastante sobre el tema, para poder comenzar antes de implementar, por el diseño que necesitarás.

    Cuando se va a verificar un certificado, es necesario acceder a la CRL para verificar que no fue revocado. Y eso es lo que te está diciendo el mensaje de error justamente

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    jueves, 25 de marzo de 2010 18:10
    Moderador
  • Hola!

    Yo tengo el mismo problema:

    Tengo un servidor winserver2003 como CA Raiz independiente (offline) y un servidor winserver2003 como CA Subordinada Independiente.

    Le instalé el certificado de la CA Raiz a la CA subordinada en el almacen: Entidades emisora raíz de confianza. Luego instalo el certificado emitido por la CA Raiz a la CA subordinada y me dice: "La función de revocación no puede comprovar la revocación debido a que el servidor de revocación esta desconectado 0x80092013 (-2146885613) "

    Al ver los detalles del certifcado raiz, bajo el campo Puntos de distribución CRL, vienen 2 direcciones URL= "nombre_del_equipo\\CertEnroll\\nombre_de_la_CA_raiz.crl". En el servidor que contiene la CA raiz cree esa direccion colocando el archivo .crl ahí, luego puse el servidor de la CA raiz online y volví a tratar de iniciar el CA Subordinado, pero me sigue tirando el mismo mensaje. en la red no hay ningun firewall ni nada por el estilo.

    miércoles, 4 de agosto de 2010 6:57