No pueden iniciar servicios de Certificate Server en un equipo que ejecuta Windows Server 2003 o Windows 2000

Seleccione idioma Seleccione idioma
Id. de artículo: 842210 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Síntomas

En un equipo que ejecuta Microsoft Windows Server 2003 o Microsoft Windows 2000 Server, servicios de Certificate Server puede no iniciarse.

Además, puede anotarse el mensaje de error siguiente en el registro aplicación en el Visor de sucesos:

Tipo de suceso: error
Origen del suceso: CertSvc
Categoría del suceso: ninguna
ID. de suceso: 42
Fecha: Date
Tiempo: Time
Usuario: N/d
Equipo: Computer_Name
Descripción: No se inició servicios de Certificate Server: no puede generar la cadena de certificados de entidad emisora de certificados para ISICA. No puede encontrar el objeto o propiedad. 0x80092004 (-2146885628). Para obtener más información, consulte Ayuda y soporte técnico en <http://support.microsoft.com>

Causa

Antes de iniciar servicios de Certificate Server, se enumeran todas las claves y certificados que han emitido a la entidad emisora de certificados (CA), incluso si las claves y los certificados han caducado. Servicios de Certificate Server no se iniciarán si alguno de estos certificados se ha quitado el almacén de certificados personales del equipo local.

Solución

Para resolver este problema, compruebe que el número de huellas digitales de certificados en el registro es igual al número de certificados que se han emitido a la entidad emisora de CERTIFICADOS. Si faltan los certificados, importar los certificados que faltan en el almacén de certificados personales del equipo local. Una vez importado los certificados que faltan, utilice el comando certutil - repairstore para reparar el vínculo entre los certificados importados y el almacén de clave privado asociado.

Para ello, utilice uno de los métodos siguientes, dependiendo de la versión del sistema operativo de su equipo está ejecutando.

Método 1: Windows Server 2003

Para resolver este problema en un equipo basado en Windows Server 2003, siga estos pasos.

Paso 1: Buscar certificados que faltan

importante Esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por tanto, asegúrese de que siga estos pasos cuidadosamente. Realice una para agregar protección, copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo realizar una copia de seguridad y restaurar el registro de Windows


Las huellas digitales de certificado indican todos los certificados que se han emitido a esta CA. Cada vez que se renueva un certificado, una huella digital de certificado nuevo se agrega a la lista CaCertHash en el registro. El número de entradas de esta lista debe ser igual número de certificados que emiten a la entidad emisora de CERTIFICADOS y que figuran en el almacén de certificados personales del equipo local.

Para buscar certificados falta, siga estos pasos:
  1. Haga clic en Inicio , haga clic en Ejecutar , escriba regedit y, a continuación, haga clic en Aceptar .
  2. Busque y, a continuación, haga clic en la siguiente subclave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ Your_Certificate_Authority_Name
  3. En el panel derecho, haga doble clic en CaCertHash .
  4. Anote el número de huellas digitales de certificado que contiene la lista de datos de valor .
  5. Iniciar el símbolo del sistema.
  6. Escriba el comando siguiente y, a continuación, presione ENTRAR:
    certutil - almacenar
    Comparar el número de certificados que se enumeran en el almacén de certificados personales del equipo local al número de huellas digitales de certificados que aparecen en la entrada de registro CaCertHash. Si los números son diferentes, vaya al "paso 2: importar los certificados que falta." Si los números son iguales, vaya al "paso 3: instalar el Windows Server 2003 Administration Tools Pack."

Paso 2: Importar los certificados que faltan

  1. Haga clic en Inicio , seleccione Todos los programas , Herramientas administrativas y, a continuación, haga clic en certificados .

    Si los certificados no aparece en la lista, siga estos pasos:
    1. Haga clic en Inicio , haga clic en Ejecutar , escriba mmc y, a continuación, haga clic en Aceptar .
    2. En el menú archivo , haga clic en Agregar o quitar complemento .
    3. Haga clic en Agregar .
    4. En la lista complemento , haga clic en certificados y, a continuación, haga clic en Agregar .

      Si aparece el cuadro de diálogo complemento certificados , haga clic en Mi cuenta de usuario y, a continuación, haga clic en Finalizar .
    5. Haga clic en Cerrar y, a continuación, haga clic en Aceptar .

      El directorio de certificados se agrega ahora a Microsoft Management Console (MMC).
    6. En el menú archivo , haga clic en Guardar como , escriba certificados en el cuadro nombre de archivo y, a continuación, haga clic en Guardar .

      Para abrir certificados en el futuro, haga clic en Inicio , seleccione Todos los programas , Herramientas administrativas y, a continuación, haga clic en certificados .
  2. Expanda certificados , expanda personal , haga clic con el botón secundario del mouse en certificados , seleccione Todas las tareas y, a continuación, haga clic en Importar .
  3. En la página, haga clic en siguiente .
  4. En la página archivo para importar , escriba la ruta completa del archivo de certificado que desea importar en el cuadro nombre de archivo y, a continuación, haga clic en siguiente . Como alternativa, haga clic en Examinar , busque el archivo y, a continuación, haga clic en siguiente .
  5. Si el archivo que desea importar es un intercambio de información personal: PKCS # 12 (*.pfx) de archivo, se le pedirá la contraseña. Escriba la contraseña y, a continuación, haga clic en siguiente .
  6. En la página Almacén de certificados , haga clic en siguiente .
  7. En la página Finalización del Asistente para importación de certificados , haga clic en Finalizar .
Nota La CA publique siempre sus certificados a la carpeta %systemroot%\System32\CertSvc\CertEnroll. Puede encontrar los certificados que faltan en esa carpeta.

Paso 3: Instalar el paquete de herramientas de administración de Windows Server 2003

Después de importar los certificados, debe utilizar la herramienta Certutil para reparar el vínculo entre los certificados importados y el almacén de clave privado asociado. La herramienta Certutil se incluye en las herramientas de certificado de CA. Las herramientas de certificados de CA de Windows Server 2003 se encuentran en el paquete de herramientas de administración de Windows Server 2003. Si no están instaladas las herramientas de certificado de CA en el equipo, instálelos ahora.

Para descargar el paquete de herramientas de administración de Windows Server 2003, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&DisplayLang=en

Paso 4: Reparar los vínculos

Después de instalar el paquete de herramientas de administración de Windows Server 2003, siga estos pasos:
  1. Iniciar el símbolo del sistema.
  2. Escriba lo siguiente y, a continuación, presione ENTRAR:
    CD %systemroot%\system32\certsrv\certenroll
  3. Tome nota del certificado de la carpeta CertEnroll similar al siguiente:
    Your_Server. Your_Domain. com_rootca.crt
  4. Escriba los comandos siguientes y, a continuación, presione ENTRAR después de cada comando:
    %systemroot%\system32\certutil - addstore mi %systemroot%\system32\certsrv\certenroll\ Your_Server. Your_Domain. com_rootca.crt
    %systemroot%\System32\certutil - volcado %systemroot%\system32\certsrv\certenroll\ Your_Server. Your_Domain. com_rootca.crt
    Your_Server. Your_Domain. com_rootca.crt es el nombre del certificado en la carpeta CertEnroll que anotó en el paso 3.
  5. En el resultado desde el último comando, casi al final, verá una línea que es similar al siguiente:
    Hash de Id. de clave (SHA1): ea c7 7D 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 d9 09 b6 32 1b
    Los datos de hash del identificador de clave son específicos de su equipo. Anote esta línea.
  6. Escriba el comando siguiente, incluidas las comillas y, a continuación, presione ENTRAR:
    %systemroot%\system32\certutil - repairstore mi "Key_Id_Hash_Data"
    En este comando, Key_Id_Hash_Data es la línea que anotó en el paso 4. Por ejemplo, escriba lo siguiente:
    %systemroot%\system32\certutil - repairstore mi "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"
    A continuación, recibirá el siguiente resultado:
    CertUtil: - repairstore comando finalizó correctamente.
  7. Para comprobar los certificados, escriba lo siguiente y, a continuación, presione ENTRAR:
    %systemroot%\system32\certutil - verifykeys
    Después de ejecuta este comando, recibirá el siguiente resultado:
    CertUtil: - verifykeys comando finalizó correctamente.

Paso 5: Iniciar el servicio servicios de Certificate Server

  1. Haga clic en Inicio , seleccione Herramientas administrativas y, a continuación, haga clic en servicios .
  2. Haga clic con el botón secundario en Servicios de Certificate Server y, a continuación, haga clic en Inicio .

Método 2: Windows 2000

Para resolver este problema en un equipo basado en Windows 2000, siga estos pasos.

Paso 1: Buscar certificados que faltan

importante Esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por tanto, asegúrese de que siga estos pasos cuidadosamente. Realice una para agregar protección, copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo realizar una copia de seguridad y restaurar el registro de Windows


Las huellas digitales de certificado indican todos los certificados que se han emitido a esta CA. Cada vez que se renueva un certificado, una huella digital de certificado nuevo se agrega a la lista CaCertHash en el registro. El número de entradas de esta lista debe ser igual número de certificados que emiten a la entidad emisora de CERTIFICADOS y que figuran en el almacén de certificados personales del equipo local.

Para buscar certificados falta, siga estos pasos:
  1. Haga clic en Inicio , haga clic en Ejecutar , escriba regedit y, a continuación, haga clic en Aceptar .
  2. Busque y, a continuación, haga clic en la siguiente subclave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ Your_Certificate_Authority_Name
  3. En el panel derecho, haga doble clic en CaCertHash .
  4. Anote el número de huellas digitales de certificado que contiene la lista de datos de valor .
  5. Iniciar el símbolo del sistema.
  6. Escriba lo siguiente y, a continuación, presione ENTRAR:
    certutil - almacenar
    Comparar el número de certificados que se enumeran en el almacén de certificados personales del equipo local al número de huellas digitales de certificados que aparecen en la entrada de registro CaCertHash. Si los números son diferentes, vaya al "paso 2: importar los certificados que falta." Si los números son iguales, vaya al "paso 3: instalar el Windows Server 2003 Administration Tools Pack."

Paso 2: Importar los certificados que faltan

  1. Haga clic en Inicio , seleccione programas , Herramientas administrativas y, a continuación, haga clic en certificados .

    Si los certificados no aparece en la lista, siga estos pasos:
    1. Haga clic en Inicio , haga clic en Ejecutar , escriba mmc y, a continuación, haga clic en Aceptar .
    2. En el menú consola , haga clic en Agregar o quitar complemento .
    3. Haga clic en Agregar
    4. En la lista complemento , haga clic en certificados y, a continuación, haga clic en Agregar .

      Si aparece el cuadro de diálogo complemento certificados , haga clic en Mi cuenta de usuario y, a continuación, haga clic en Finalizar .
    5. Haga clic en Cerrar .
    6. Haga clic en Aceptar .
    7. El directorio de certificados se agrega ahora a Microsoft Management Console (MMC).
    8. En el menú consola , haga clic en Guardar como , escriba certificados como el nombre de archivo y, a continuación, haga clic en Guardar .

      Para abrir certificados en el futuro, haga clic en Inicio , seleccione programas , Herramientas administrativas y, a continuación, haga clic en certificados .
  2. Expanda certificados , expanda personal , haga clic con el botón secundario del mouse en certificados , seleccione Todas las tareas y, a continuación, haga clic en Importar .
  3. En la página, haga clic en siguiente .
  4. En la página archivo para importar , escriba la ruta completa del archivo de certificado que desea importar en el cuadro nombre de archivo y, a continuación, haga clic en siguiente . Como alternativa, haga clic en Examinar , busque el archivo y, a continuación, haga clic en siguiente .
  5. Si el archivo que desea importar es un intercambio de información personal: PKCS # 12 (*.pfx), se le pedirá la contraseña. Escriba la contraseña y, a continuación, haga clic en siguiente .
  6. En la página Almacén de certificados , haga clic en siguiente .
  7. En la página Finalización del Asistente para importación de certificados , haga clic en Finalizar .
Nota La CA publique siempre sus certificados a la carpeta %systemroot%\System32\CertSvc\CertEnroll. Puede encontrar los certificados que faltan en esa carpeta.

Paso 3: Instalar las herramientas de Windows Server 2003 Certutil

Después de importar los certificados, debe utilizar las herramientas de certificados de CA de Windows Server 2003 para reparar el vínculo entre los certificados importados y el almacén de clave privado asociado.

Las versiones de Windows Server 2003 de certutil.exe y certreq.exe se incluyen en el paquete de herramientas de administración de Windows Server 2003. Para instalar las herramientas en un equipo basado en Windows 2000, primero debe instalar el paquete de herramientas de administración de Windows Server 2003 en un equipo que está ejecutando Windows Server 2003 o Microsoft Windows XP con Service Pack 1 (SP1) o con un service pack posterior. No se puede instalar el paquete de herramientas de administración de Windows Server 2003 directamente en un equipo basado en Windows 2000.

importante Después de copiar las herramientas de certificados de CA de Windows Server 2003 en el equipo basado en Windows 2000, dos versiones de la herramienta Certutil residirán en el equipo basado en Windows 2000. No quite la herramienta Certutil de Windows 2000. Otros programas dependen de la versión de Windows 2000 de esta herramienta. Por ejemplo, el complemento MMC certificados requiere la herramienta Certutil de Windows 2000. Además, no registre los archivos certadm.dll el equipo basado en Windows 2000 y Windows Server 2003 certcli.dll.

Para utilizar las herramientas de certificados de CA de Windows Server 2003 en un equipo basado en Windows 2000, siga estos pasos:
  1. Descargue el paquete Herramientas de administración de Windows Server 2003. Para hacerlo, visite el siguiente sitio Web de Microsoft:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&DisplayLang=en
  2. Inicie sesión en un equipo que ejecuta Windows Server 2003 o Windows XP con SP1 o con un service pack posterior.
  3. Instalar el paquete de herramientas de administración de Windows Server 2003.
  4. En el paquete de herramientas de administración de Windows Server 2003, busque los archivos siguientes y, a continuación, copiarlos en un medio de almacenamiento extraíble, como un disco de 3,5 pulgadas:
    Certreq.exe
    Certutil.exe
    Certcli.dll
    Certadm.dll
  5. Inicie sesión como administrador en el equipo basado en Windows 2000.
  6. Inserte el medio de almacenamiento extraíble que utilizó en el paso 4 en la unidad correspondiente del equipo basado en Windows 2000.
  7. Iniciar el símbolo del sistema.
  8. Crear una carpeta nueva y, a continuación, copie los archivos en el medio de almacenamiento extraíble a la nueva carpeta. Para ello, escriba los comandos siguientes y, a continuación, presione ENTRAR después de cada comando:
    cd\
    MD W2k3tool
    CD w2k3tool
    copiar Removable_Media_Drive_Letter: \cert*
    Nota Para evitar conflictos con las versiones de Windows 2000 de la herramienta Certutil que ya está en el equipo, no incluya la carpeta W2k3tool en su ruta de búsqueda del sistema.

Paso 4: Reparar los vínculos

Una vez copiados los archivos de herramientas de certificados de CA de Windows Server 2003 en el equipo basado en Windows 2000, siga estos pasos:
  1. Iniciar el símbolo del sistema.
  2. Escriba lo siguiente y, a continuación, presione ENTRAR:
    CD %systemroot\system32\certsrv\certenroll
  3. Tome nota del certificado de la carpeta CertEnroll similar al siguiente: Your_Server. Your_Domain. com_rootca.crt
  4. Escriba los comandos siguientes y, a continuación, presione ENTRAR después de cada comando:
    Root_Drive_Letter: \ w2k3tool \certutil - addstore mi %systemroot%\system32\certsrv\certenroll\ Your_Server. Your_Domain. com_rootca.crt
    Root_Drive_Letter: \ w2k3tool \certutil - volcado %systemroot%\system32\certsrv\certenroll\ Your_Server. Your_Domain. com_rootca.crt
    Root_Drive_Letteres la letra del directorio raíz.

    Your_Server. Your_Domain. com_rootca.crt es el nombre del certificado en la carpeta CertEnroll que anotó en el paso 3.
  5. En el resultado desde el último comando, casi al final, verá una línea que es similar al siguiente:
    Hash de Id. de clave (SHA1): ea c7 7D 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 d9 09 b6 32 1b
    Los datos de hash del identificador de clave son específicos de su equipo. Anote esta línea.
  6. Escriba el comando siguiente, incluidas las comillas y a continuación, presione ENTRAR:
    Root_Drive_Letter: \ w2k3tool \certutil - repairstore mi "Key_Id_Hash_Data"
    En este comando, Key_Id_Hash_Data es la línea que anotó en el paso 5. Por ejemplo, escriba lo siguiente:
    c:\w2k3tool\certutil - repairstore mi "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"
    Cuando haya completado este comando, recibirá el siguiente resultado:
    CertUtil: - repairstore comando finalizó correctamente.
  7. Para comprobar los certificados, escriba el comando siguiente y, a continuación, presione ENTRAR:
    Root_Drive_Letter: \ w2k3tool \certutil - verifykeys
    Después de ejecuta este comando, recibirá el siguiente resultado:
    CertUtil: - verifykeys comando finalizó correctamente.

Paso 5: Iniciar el servicio servicios de Certificate Server

  1. Haga clic en Inicio , seleccione Herramientas administrativas y, a continuación, haga clic en servicios .
  2. Haga clic con el botón secundario en Servicios de Certificate Server y, a continuación, haga clic en Inicio .

Más información

Debe dar de baja y sustituir la CA si se cumple una de las condiciones siguientes:
  • No puede encontrar los certificados que faltan.
  • Los certificados no pueden instalarse.
  • No se puede completar el comando certutil - repairstore porque se han quitado las claves privadas.
Para dar de baja y para reemplazar la entidad emisora de CERTIFICADOS, siga estos pasos:
  1. Revocar los certificados de la entidad emisora que ha dejado de funcionar correctamente. Para ello, siga estos pasos:
    1. Inicie sesión como administrador en el equipo que emitió los certificados que desea revocar.
    2. Haga clic en Inicio , seleccione programas , Herramientas administrativas y, a continuación, haga clic en Entidad emisora de certificados .
    3. Expanda CA_Name y, a continuación, haga clic en Certificados emitidos .
    4. En el panel derecho, haga clic en el certificado que desea revocar.
    5. En el menú acción , seleccione Todas las tareas y, a continuación, haga clic en Revocar certificado .
    6. En la lista código de motivo , haga clic en la razón para revocar el certificado y, a continuación, haga clic en .
    Esto revocar todos los certificados emitidos por la CA que ha dejado de funcionar correctamente.
  2. Publique la lista revocación de certificados (CRL) en la CA más alta siguiente. Para ello, siga estos pasos:
    1. Inicie sesión como administrador para el equipo que ejecuta la siguiente entidad más alta.
    2. Haga clic en Inicio , seleccione programas , Herramientas administrativas y, a continuación, haga clic en Entidad emisora de certificados .
    3. Expanda CA_Name y, a continuación, haga clic en Certificados revocados .
    4. En el menú acción , seleccione Todas las tareas y, a continuación, haga clic en publicar .
    5. Haga clic en para sobrescribir la CRL anteriormente publicada.
  3. Si se ha publicado la entidad emisora que ha dejado de funcionar correctamente en servicios de directorio de Active Directory, quítelo. Para quitar la CA de Active Directory, siga estos pasos:
    1. Iniciar el símbolo del sistema.
    2. Escriba lo siguiente y, a continuación, presione ENTRAR:
      certutil - dsdel CA_Name
  4. Quitar servicios de Certificate Server del servidor donde la entidad emisora dejó de funcionar correctamente. Para ello, siga estos pasos:
    1. Haga clic en Inicio , seleccione configuración y, a continuación, haga clic en Panel de control .
    2. Haga doble clic en Agregar o quitar programas y, a continuación, haga clic en Agregar o quitar componentes de Windows .
    3. En la lista de componentes , haga clic en desactive la casilla de verificación Servicios de Certificate Server , haga clic en siguiente y, a continuación, haga clic en Finalizar .
  5. Instalar servicios de Certificate Server. Para ello, siga estos pasos:
    1. Haga clic en Agregar o quitar componentes de Windows .
    2. En la lista componentes , haga clic para seleccionar la casilla de verificación Servicios de Certificate Server , haga clic en siguiente y, a continuación, haga clic en Finalizar .
  6. Todos los usuarios, los equipos o servicios con certificados emitidos por la CA que ha dejado de funcionar correctamente deben inscribir certificados desde la nueva emisora.
Nota Si este problema se produce en la entidad emisora raíz de la jerarquía de infraestructura de claves públicas (PKI) y si no se puede reparar el problema, tendrá que reemplazar toda la jerarquía PKI.Para obtener información adicional acerca de cómo quitar la jerarquía PKI, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
889250Cómo dar de baja una entidad emisora de certificados de empresa de Windows y cómo quitar objetos todo relacionados de Windows Server 2003 y de Windows 2000 Server

Propiedades

Id. de artículo: 842210 - Última revisión: lunes, 30 de octubre de 2006 - Versión: 3.3
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Palabras clave: 
kbmt kbwinservds kbactivedirectory kbtshoot kbprb KB842210 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 842210

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com