none
CA interna no me permitie generar Certificado de tipo Servidor web RRS feed

  • Pregunta

  • Saludos

    Les cuento, ya ha intentado varias cosas para poder generar un certificado de tipo Servidor Web por IIS en SERVER 2012 y cuando llego a la opcion de --> "Solicitar un Certificado" --> "Enviar una solicitud de certificado..." me arroja el siguiente error:

    "No se pueden encontrar las plantillas de certificado. No tiene permisos para solicitar un certificado de esta entidad de certificación, o bien ocurrio un error al obtener acceso a Active Directory"

    Ya he intentado varias cosas y no quiere quitarse el error.

    Lo único que no se en que pueda influir es que ya hay una CA interna instalada en el mismo Dominio y que no debo quitar pero tengo entendido que puedo tener varias CA.

    Gracias por la ayuda de verdad que he visitado varios foros y nada que puedo resolverlo.

    Muchas Gracias.

    Andrés

    martes, 19 de mayo de 2015 22:52

Respuestas

Todas las respuestas

  • Hola soporteredes,

    Lo primero te recomendaria comprobar los permisos en la plantilla duplicada a través de la consola de Plantillas de Certificados, es posible que tu usuario no esté dentro de los permisos y por eso no permita verla. En muchos casos, el hecho de duplicarla no copia los mismos permisos. (Y ejecutar iisreset)

    Comprueba las plantillas con el comando Certutil -CATemplates y mira si aparece algun Acceso Denegado.

    En caso de duda en cuanto a los permisos, comprueba la plantilla original, y asigna los mismos grupos/objetos que tiene esta. (Y ejecutar iisreset)

    A través del interfaz de IIS, comprueba que en la ruta de \\localhost\CertSrv como están configuradas la Autenticacion Anonima y la Autenticacion de Windows. 

    Espero que sea de ayuda.

    miércoles, 20 de mayo de 2015 13:21
  • Con el comando que me indicas me sale esto:

    DirectoryEmailReplication: Replicación de directorio de correo electrónico -- Inscripción automática
    DomainControllerAuthentication: Autenticación de controlador de dominio -- Inscripción automática
    KerberosAuthentication: Autenticación Kerberos -- Inscripción automática
    EFSRecovery: Agente de recuperación de EFS -- Inscripción automática: Acceso denegado.
    EFS: EFS básico -- Inscripción automática: Acceso denegado.
    DomainController: Controlador de dominio -- Inscripción automática: Acceso denegado.
    WebServer: Servidor web -- Inscripción automática: Acceso denegado.
    Machine: Equipo -- Inscripción automática: Acceso denegado.
    User: Usuario -- Inscripción automática: Acceso denegado.
    SubCA: Entidad de certificación subordinada -- Inscripción automática: Acceso denegado.
    Administrator: Administrador -- Inscripción automática: Acceso denegado.
    CertUtil: -CATemplates comando completado correctamente.

    Luego en la ruta que me indicas veo que esta carpeta no abre pero si en su lugar una con esta ruta:

    \\localhost\certsrv\CertEnroll

    Cuando voy y busco las permisos en las propiedades no me aparece nada.

    Gracias me puedes ayudar con la información que te pase.

    Muchas gracias.

    miércoles, 20 de mayo de 2015 20:02
  • Voy a dar más información para verificar que problemas puedo tener:
    -->El equipo está en el Dominio.
    -->Ya alguien instalo una CA en el mismo Dominio la cual no puedo retirar pero no sé si este influyendo en el problema que tengo.
    -->Instale el "Servicios de Certificación de Active Directory" con los módulos de:
    -Entidad de certificación
    -Inscripción web de entidad de certificación
    --> Al momento de iniciar la configuración lo deje con el usuario “Administrador” de mi Dominio
    -->Chuleo Entidad de certificación e Inscripción web de entidad de certificación
    -->Chuleo CA empresarial
    -->Chuleo CA Raiz
    (Esto porque antes de aplicar una buena práctica de crear aparte mi CA RAIZ fuera de la red quiero ensayar esta)
    -->Cree la clave de tipo RSA a 2048 SHA1
    -->El nombre distintivo y demás lo deje como estaba por defecto.
    -->La deje a 10 AÑOS
    --> la ruta por defecto: C:\Windows\system32\CertLog


    miércoles, 20 de mayo de 2015 21:41
  • Hola,

    Creo que no me habia explicado bien. Por lo que parece, es un tema de permisos ya que puedes ver los Accesos Denegado que me imaginaba. 

    Prueba el procedimiento que aparece en el siguiente articulo, para cambiar los permisos de las plantillas:

    https://technet.microsoft.com/es-es/library/ee649249%28v=ws.10%29.aspx

    Para realizar la prueba, puedes asignar permisos de Enroll a TODOS.

    Por otra parte, en cuanto a lo de la ruta, no me referia a la ruta a través de navegador sino a través de la Herramienta Administrativa de Administracion de IIS, en el apartado de "Sitios" y desde el panel central, doble click a "Autenticacion". Ahi verás la Autenticacion Anonima y la Autenticacion Windows. 

    Puedes ver los detalles en el siguiente Blog (a partir del paso 22):

    http://blogs.technet.com/b/askds/archive/2009/04/22/how-to-configure-the-windows-server-2008-ca-web-enrollment-proxy.aspx

    Creo que con esto ya se solventaria :)


    jueves, 21 de mayo de 2015 7:43
  • Saludos

    Ejecute el comando y me sale "Web Server" conectándose a mi servidor de Catalogo Global,

    Luego le di los permisos a todos como me indicas y a un usuario de tipo rol administrador mio.

    Reinicie todo y ejecute "gpupdate /force" y sigue diciendo que no tengo permisos,

    Luego fui a la opción de "Sitios y Servicios de Active Directory" en la opción --> Services --> Public key services -->  AIA --> y en los permisos del certificado estan los permisos.

    y en las opciones de IIS "Autenticación" estan habilitadas:

    Autenticación de Windows y Autenticación anónima están habilitadas.

    La verdad no se que mas verificar, sigue sin permisos.

    Muchas gracias por la ayuda.

    jueves, 21 de mayo de 2015 15:27
  • Estoy haciendo exactamente lo que hace este usuario solo que no en mi servidor de Exchange si no en otro aparte es la única diferencia:

    http://careexchange.in/how-to-install-certificate-authority-on-windows-server-2012/

    Gracias por la ayuda, aun sigo con el problema.

    jueves, 21 de mayo de 2015 22:26
  • Prueba Deshabilitando la autenticacion anonima, unicamente debe intentar el permiso a través de autenticacion de Windows.

    viernes, 22 de mayo de 2015 8:44
  • Saludos

    Ya esta Deshabilitado pero sigue igual, lo quite lo reinicie y lo volví a colocar también y de ninguna forma sigue saliendo el mismo error.

    Gracias por el apoyo.


    viernes, 22 de mayo de 2015 13:34
  • Saludos

    La verdad no veo que más hacer por tanto como tengo un nivel organizacional entre 2008 server y 2012 server en DC voy a verfiicar que el 2008 no me este afectando esto y voy a instalar un CA sobre un server 2008 y verificar como me va, es que en un foro lei que hay problemas a la hora de existir diferentes versiones de niveles en los DC.

    Les contare como me va.

    Gracias 

    viernes, 22 de mayo de 2015 23:56
  • Saludos

    Alvaro gracias por la ayuda pero por si a alguien le sucede el nivel funcional de la CA debe ser de la versión más baja que exista en el Dominio, instale la versión de mi CA en server 2008 y ya esta funcionando correctamente, muchas gracias.

    Andrés

    sábado, 23 de mayo de 2015 0:17