Principales respuestas
CA interna no me permitie generar Certificado de tipo Servidor web

Pregunta
-
Saludos
Les cuento, ya ha intentado varias cosas para poder generar un certificado de tipo Servidor Web por IIS en SERVER 2012 y cuando llego a la opcion de --> "Solicitar un Certificado" --> "Enviar una solicitud de certificado..." me arroja el siguiente error:
"No se pueden encontrar las plantillas de certificado. No tiene permisos para solicitar un certificado de esta entidad de certificación, o bien ocurrio un error al obtener acceso a Active Directory"
Ya he intentado varias cosas y no quiere quitarse el error.
Lo único que no se en que pueda influir es que ya hay una CA interna instalada en el mismo Dominio y que no debo quitar pero tengo entendido que puedo tener varias CA.
Gracias por la ayuda de verdad que he visitado varios foros y nada que puedo resolverlo.
Muchas Gracias.
Andrés
Respuestas
-
Saludos
Alvaro gracias por la ayuda pero por si a alguien le sucede el nivel funcional de la CA debe ser de la versión más baja que exista en el Dominio, instale la versión de mi CA en server 2008 y ya esta funcionando correctamente, muchas gracias.
Andrés
- Marcado como respuesta soporteredes Jonny Andrés Restrepo Gallego sábado, 23 de mayo de 2015 0:17
Todas las respuestas
-
Hola soporteredes,
Comprueba las plantillas con el comando Certutil -CATemplates y mira si aparece algun Acceso Denegado.
En caso de duda en cuanto a los permisos, comprueba la plantilla original, y asigna los mismos grupos/objetos que tiene esta. (Y ejecutar iisreset)
A través del interfaz de IIS, comprueba que en la ruta de \\localhost\CertSrv como están configuradas la Autenticacion Anonima y la Autenticacion de Windows.
Espero que sea de ayuda. -
Con el comando que me indicas me sale esto:
DirectoryEmailReplication: Replicación de directorio de correo electrónico -- Inscripción automática
DomainControllerAuthentication: Autenticación de controlador de dominio -- Inscripción automática
KerberosAuthentication: Autenticación Kerberos -- Inscripción automática
EFSRecovery: Agente de recuperación de EFS -- Inscripción automática: Acceso denegado.
EFS: EFS básico -- Inscripción automática: Acceso denegado.
DomainController: Controlador de dominio -- Inscripción automática: Acceso denegado.
WebServer: Servidor web -- Inscripción automática: Acceso denegado.
Machine: Equipo -- Inscripción automática: Acceso denegado.
User: Usuario -- Inscripción automática: Acceso denegado.
SubCA: Entidad de certificación subordinada -- Inscripción automática: Acceso denegado.
Administrator: Administrador -- Inscripción automática: Acceso denegado.
CertUtil: -CATemplates comando completado correctamente.Luego en la ruta que me indicas veo que esta carpeta no abre pero si en su lugar una con esta ruta:
\\localhost\certsrv\CertEnroll
Cuando voy y busco las permisos en las propiedades no me aparece nada.
Gracias me puedes ayudar con la información que te pase.
Muchas gracias.
-
Voy a dar más información para verificar que problemas puedo tener:
-->El equipo está en el Dominio.
-->Ya alguien instalo una CA en el mismo Dominio la cual no puedo retirar pero no sé si este influyendo en el problema que tengo.
-->Instale el "Servicios de Certificación de Active Directory" con los módulos de:
-Entidad de certificación
-Inscripción web de entidad de certificación
--> Al momento de iniciar la configuración lo deje con el usuario “Administrador” de mi Dominio
-->Chuleo Entidad de certificación e Inscripción web de entidad de certificación
-->Chuleo CA empresarial
-->Chuleo CA Raiz
(Esto porque antes de aplicar una buena práctica de crear aparte mi CA RAIZ fuera de la red quiero ensayar esta)
-->Cree la clave de tipo RSA a 2048 SHA1
-->El nombre distintivo y demás lo deje como estaba por defecto.
-->La deje a 10 AÑOS
--> la ruta por defecto: C:\Windows\system32\CertLog
- Editado soporteredes Jonny Andrés Restrepo Gallego miércoles, 20 de mayo de 2015 21:43
-
Hola,
Creo que no me habia explicado bien. Por lo que parece, es un tema de permisos ya que puedes ver los Accesos Denegado que me imaginaba.
Prueba el procedimiento que aparece en el siguiente articulo, para cambiar los permisos de las plantillas:
https://technet.microsoft.com/es-es/library/ee649249%28v=ws.10%29.aspx
Para realizar la prueba, puedes asignar permisos de Enroll a TODOS.
Por otra parte, en cuanto a lo de la ruta, no me referia a la ruta a través de navegador sino a través de la Herramienta Administrativa de Administracion de IIS, en el apartado de "Sitios" y desde el panel central, doble click a "Autenticacion". Ahi verás la Autenticacion Anonima y la Autenticacion Windows.
Puedes ver los detalles en el siguiente Blog (a partir del paso 22):
Creo que con esto ya se solventaria :)
-
Saludos
Ejecute el comando y me sale "Web Server" conectándose a mi servidor de Catalogo Global,
Luego le di los permisos a todos como me indicas y a un usuario de tipo rol administrador mio.
Reinicie todo y ejecute "gpupdate /force" y sigue diciendo que no tengo permisos,
Luego fui a la opción de "Sitios y Servicios de Active Directory" en la opción --> Services --> Public key services --> AIA --> y en los permisos del certificado estan los permisos.
y en las opciones de IIS "Autenticación" estan habilitadas:
Autenticación de Windows y Autenticación anónima están habilitadas.
La verdad no se que mas verificar, sigue sin permisos.
Muchas gracias por la ayuda.
-
Estoy haciendo exactamente lo que hace este usuario solo que no en mi servidor de Exchange si no en otro aparte es la única diferencia:
http://careexchange.in/how-to-install-certificate-authority-on-windows-server-2012/
Gracias por la ayuda, aun sigo con el problema.
-
-
Saludos
Ya esta Deshabilitado pero sigue igual, lo quite lo reinicie y lo volví a colocar también y de ninguna forma sigue saliendo el mismo error.
Gracias por el apoyo.
- Editado soporteredes Jonny Andrés Restrepo Gallego viernes, 22 de mayo de 2015 13:44
-
Saludos
La verdad no veo que más hacer por tanto como tengo un nivel organizacional entre 2008 server y 2012 server en DC voy a verfiicar que el 2008 no me este afectando esto y voy a instalar un CA sobre un server 2008 y verificar como me va, es que en un foro lei que hay problemas a la hora de existir diferentes versiones de niveles en los DC.
Les contare como me va.
Gracias
-
Saludos
Alvaro gracias por la ayuda pero por si a alguien le sucede el nivel funcional de la CA debe ser de la versión más baja que exista en el Dominio, instale la versión de mi CA en server 2008 y ya esta funcionando correctamente, muchas gracias.
Andrés
- Marcado como respuesta soporteredes Jonny Andrés Restrepo Gallego sábado, 23 de mayo de 2015 0:17