Los clientes no se pueden autenticar con un servidor después de obtener un certificado nuevo para reemplazar un certificado caducado en el servidor.


Síntomas


Después de reemplazar un certificado caducado por uno nuevo en un servidor que ejecuta el servicio de autenticación de Internet (IAS) o enrutamiento y acceso remoto de Microsoft, los clientes que tengan configurado el protocolo de autenticación extensible-seguridad de la capa de transporte (EAP-TLS) para comprobar el certificado del servidor ya no se podrán autenticar con el servidor. Cuando ve el registro del sistema en el visor de eventos en el equipo cliente, aparece el siguiente evento: Si habilita el registro detallado en el servidor que ejecuta IAS o enrutamiento y acceso remoto (por ejemplo, ejecutando el comando netsh ras Set Tracing * enable ), se muestra información similar a la siguiente en el archivo Rastls. log que se genera cuando un cliente intenta autenticar. Nota Si usa IAS como servidor RADIUS para la autenticación, verá este comportamiento en el servidor IAS. Si usa enrutamiento y acceso remoto y el enrutamiento y acceso remoto está configurado para la autenticación de Windows (no la autenticación de RADIUS), verá este comportamiento en el servidor de enrutamiento y acceso remoto.
1072] 15:47:57:280: CRYPT_E_NO_REVOCATION_CHECK will not be ignored[1072] 15:47:57:280: CRYPT_E_REVOCATION_OFFLINE will not be ignored[1072] 15:47:57:280: The root cert will not be checked for revocation[1072] 15:47:57:280: The cert will be checked for revocation[1072] 15:47:57:280: [1072] 15:47:57:280: EapTlsMakeMessage(Example\client)[1072] 15:47:57:280: >> Received Response (Code: 2) packet: Id: 11, Length: 25, Type: 0, TLS blob length: 0. Flags: [1072] 15:47:57:280: EapTlsSMakeMessage[1072] 15:47:57:280: EapTlsReset[1072] 15:47:57:280: State change to Initial[1072] 15:47:57:280: GetCredentials[1072] 15:47:57:280: The name in the certificate is: server.example.com[1072] 15:47:57:312: BuildPacket[1072] 15:47:57:312: << Sending Request (Code: 1) packet: Id: 12, Length: 6, Type: 13, TLS blob length: 0. Flags: S[1072] 15:47:57:312: State change to SentStart[1072] 15:47:57:312: [1072] 15:47:57:312: EapTlsEnd(Example\client)[1072] 15:47:57:312: [1072] 15:47:57:312: EapTlsEnd(Example\client)[1072] 15:47:57:452: [1072] 15:47:57:452: EapTlsMakeMessage(Example\client)[1072] 15:47:57:452: >> Received Response (Code: 2) packet: Id: 12, Length: 80, Type: 13, TLS blob length: 70. Flags: L[1072] 15:47:57:452: EapTlsSMakeMessage[1072] 15:47:57:452: MakeReplyMessage[1072] 15:47:57:452: Reallocating input TLS blob buffer[1072] 15:47:57:452: SecurityContextFunction[1072] 15:47:57:671: State change to SentHello[1072] 15:47:57:671: BuildPacket[1072] 15:47:57:671: << Sending Request (Code: 1) packet: Id: 13, Length: 1498, Type: 13, TLS blob length: 3874. Flags: LM[1072] 15:47:57:702: [1072] 15:47:57:702: EapTlsMakeMessage(Example\client)[1072] 15:47:57:702: >> Received Response (Code: 2) packet: Id: 13, Length: 6, Type: 13, TLS blob length: 0. Flags: [1072] 15:47:57:702: EapTlsSMakeMessage[1072] 15:47:57:702: BuildPacket[1072] 15:47:57:702: << Sending Request (Code: 1) packet: Id: 14, Length: 1498, Type: 13, TLS blob length: 0. Flags: M[1072] 15:47:57:718: [1072] 15:47:57:718: EapTlsMakeMessage(Example\client)[1072] 15:47:57:718: >> Received Response (Code: 2) packet: Id: 14, Length: 6, Type: 13, TLS blob length: 0. Flags: [1072] 15:47:57:718: EapTlsSMakeMessage[1072] 15:47:57:718: BuildPacket[1072] 15:47:57:718: << Sending Request (Code: 1) packet: Id: 15, Length: 900, Type: 13, TLS blob length: 0. Flags: [1072] 15:48:12:905: [1072] 15:48:12:905: EapTlsMakeMessage(Example\client)[1072] 15:48:12:905: >> Received Response (Code: 2) packet: Id: 15, Length: 6, Type: 13, TLS blob length: 0. Flags: [1072] 15:48:12:905: EapTlsSMakeMessage[1072] 15:48:12:905: MakeReplyMessage[1072] 15:48:12:905: SecurityContextFunction[1072] 15:48:12:905: State change to SentFinished. Error: 0x80090318[1072] 15:48:12:905: Negotiation unsuccessful[1072] 15:48:12:905: BuildPacket[1072] 15:48:12:905: << Sending Failure (Code: 4) packet: Id: 15, Length: 4, Type: 0, TLS blob le 

Causa


Este problema puede ocurrir si se cumplen todas las condiciones siguientes:
  • El servidor IAS o el servidor de enrutamiento y acceso remoto es un miembro de dominio, pero la funcionalidad de solicitudes de certificados automáticas (inscripción automática) no está configurada en el dominio. O bien, el servidor IAS o el servidor de enrutamiento y acceso remoto no es un miembro de dominio.
  • Solicita y recibe manualmente un nuevo certificado para el servidor IAS o el servidor de enrutamiento y acceso remoto.
  • No quite el certificado expirado del servidor IAS o del servidor de enrutamiento y acceso remoto.
Si un certificado expirado está presente en el servidor IAS o en el servidor de enrutamiento y acceso remoto junto con un nuevo certificado válido, la autenticación de cliente no se realizará correctamente. El resultado "error 0x80090328" que se muestra en el registro de eventos del equipo cliente corresponde a "certificado expirado".

Solución alternativa


Para solucionar este problema, quite el certificado expirado (archivado). Para ello, siga estos pasos:
  1. Abra el complemento Microsoft Management Console (MMC) donde administra el almacén de certificados en el servidor IAS. Si todavía no tiene un complemento de MMC para ver el almacén de certificados de, cree uno. Para ello:
    1. Haga clic en Inicio, haga clic en Ejecutar, escriba MMC en el cuadro abrir y, a continuación, haga clic en Aceptar.
    2. En el menú de consola (el menú archivo en Windows Server 2003), haga clic en Agregar o quitar complementoy, a continuación, haga clic en Agregar.
    3. En la lista complementos independientes disponibles , haga clic en certificados, en Agregar, en cuenta de equipo, en siguientey, por último, en Finalizar.Nota También puede Agregar el complemento certificados para la cuenta de usuario y para la cuenta de servicio a este complemento de MMC.
    4. Haga clic en Cerrar y en Aceptar.
  2. En raíz de consola, haga clic en certificados (equipo local).
  3. En el menú Ver , haga clic en Opciones.
  4. Haga clic en la casilla de verificación certificados archivados para seleccionarla y, a continuación, haga clic en Aceptar.
  5. Expanda personaly, a continuación, haga clic en certificados.
  6. Haga clic con el botón secundario en el certificado digital expirado (archivado), haga clic en eliminary, a continuación, haga clic en para confirmar la eliminación del certificado expirado.
  7. Salga del complemento de MMC. No es necesario que reinicie el equipo ni ningún servicio para completar este procedimiento.

Más información


Microsoft recomienda configurar las solicitudes automáticas de certificados para renovar los certificados digitales de su organización. Para obtener más información sobre la inscripción automática de certificados en Windows XP, visite el siguiente sitio web de Microsoft: