Mensaje de error cuando solicita un certificado desde un equipo que ejecuta Windows Server 2003 con Service Pack 1: "Error en la solicitud de certificado debido a una de las siguientes condiciones..."

Importante: Este artículo contiene información acerca de cómo modificar el registro. Asegúrese de hacer copia de seguridad del registro antes de modificarlo. Asegúrese de que sabe cómo restaurarlo si ocurre algún problema. Para obtener más información acerca de cómo hacer copia de seguridad, restaurar y modificar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Síntomas

Cuando se utiliza el complemento certificados para solicitar un certificado de equipo o un certificado de usuario, puede recibir uno de los siguientes mensajes de error:

Mensaje 1

Error en la solicitud de certificado debido a una de las siguientes condiciones:
-La solicitud de certificado se envió a un comentario que vea que no se ha iniciado.
-No tiene los permisos para solicitar certificados de las entidades emisoras disponibles.

Mensaje 2

Error en la solicitud de certificado debido a una de las siguientes condiciones:
-La solicitud requería un certificado de intercambio de una autoridad de certificación (CA) que no se ha iniciado.
-No tiene los permisos para solicitar certificados de las entidades emisoras disponibles.
Este problema puede producirse cuando Servicios de Certificate Server está habilitado en un equipo host que está ejecutando Microsoft Windows Server 2003 con Service Pack 1 (SP1).

Causa

Este problema puede producirse si el equipo cliente no tiene la entrada de registro de EnableDCOM.

La entrada de registro de EnableDCOM se encuentra en la siguiente subclave del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole

Solución

Para resolver este problema, confirme que el problema no está relacionado con la entidad emisora de certificados (CA). A continuación, agregue la entrada del registro que falta.

Siga estos pasos para asegurarse de que el problema no está relacionado con la entidad emisora.

Nota: Este procedimiento requiere el uso de la utilidad Cominfo.exe. Para obtener la utilidad Cominfo.exe, póngase en contacto con los servicios de soporte técnico de Microsoft. Para obtener una lista completa de números de teléfono de los servicios de soporte al cliente de Microsoft e información acerca de los costos de soporte técnico, visite el siguiente sitio Web de Microsoft:
  1. Compruebe que la entidad emisora y todos los certificados de entidad emisora primaria son válidos y de confianza.
  2. Asegúrese de que la lista de control de acceso discrecional (DACL) de la plantilla de certificado en la entidad emisora de certificados incluye el grupo Usuarios autenticados. Si el grupo Usuarios autenticados se quita de la DACL, la entidad emisora de certificados ya no puede leer la plantilla en Active Directory. Por lo tanto, la CA no puede emitir certificados.
  3. En el equipo cliente, escriba los comandos siguientes en un símbolo del sistema. Presione ENTRAR después de cada comando.
    certutil – plantilla
    certutil – volcado
    Nota: El primer comando muestra los permisos del usuario en las plantillas disponibles. Un estado de "Acceso denegado" aparece para cada plantilla de certificado no se puede utilizar por el usuario que actualmente ha iniciado sesión. El segundo comando muestra una lista de entidades emisoras de certificados de empresa.
  4. Escriba el comando siguiente para buscar el nombre común (CN) de la entidad emisora y, a continuación, presione ENTRAR:
    certutil – volcado | configuración de Findstr
  5. Escriba el comando siguiente y, a continuación, presione ENTRAR:
    set config =CAMachineDNSName\CACommonName
  6. Escriba el comando siguiente y, a continuación, presione ENTRAR:
    certutil-config "% config %": ping
    Puede recibir un mensaje de "Acceso denegado".
  7. Escriba el comando siguiente para exportar un certificado de intercambio de CA y, a continuación, presione ENTRAR:
    certutil-config "% config %" – cainfo xchg
    Puede recibir un mensaje similar al siguiente:
    Exportar el certificado de intercambio de CA a xchg.cer
  8. Escriba el comando siguiente y, a continuación, presione ENTRAR:
    certutil-config "% config %" – comprobar – urlfetch xchg.cer
    Puede recibir un mensaje similar al siguiente:
    CertUtil-comprobar error de comando: 0x8009310b (ASN: 267)
  9. Ejecute la utilidad Cominfo.exe para recopilar información de DCOM.

    La utilidad Cominfo.exe puede producir un resultado similar al siguiente:
    DCOM instalado
    El valor de EnableDCOM no está presente bajo HKEY_LOCAL_MACHINE\Software\Microsoft\Ole. [Advertencia: es probable que obtenga el error RPC_E_REMOTE_DISABLED si ejecuta aplicaciones DCOM en este equipo.]
    Este mensaje confirma que el problema está relacionado con la entrada del registro que falta.
Para agregar la entrada de registro de EnableDCOM, siga estos pasos.

Advertencia: pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o mediante cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar que estos problemas puedan resolverse. Modifique el registro bajo su propio riesgo.
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
  2. Busque y, a continuación, haga clic en la subclave del registro siguiente:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
  3. En el menú Edición , seleccione nuevoy, a continuación, haga clic en Valor de cadena.
  4. Escriba EnableDCOMy, a continuación, presione ENTRAR.
  5. Haga clic en EnableDCOMy, a continuación, haga clic en Modificar.
  6. Escriba Y en el cuadro información del valor y, a continuación, haga clic en Aceptar.
  7. Salga del Editor del Registro.

Más información

Para obtener más información acerca de un problema similar, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

927066 mensaje de error cuando un equipo cliente solicita un certificado desde un equipo que ejecuta Windows Server 2003 con Service Pack 1: "no se puede iniciar el Asistente debido a uno o más de las siguientes condiciones"

Para obtener más información acerca de los cambios a la configuración de seguridad DCOM después de instalar Windows Server 2003 Service Pack 1, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

903220 descripción de los cambios en la configuración de seguridad DCOM después de instalar Windows Server 2003 Service Pack 1

Propiedades

Id. de artículo: 929494 - Última revisión: 14 ene. 2017 - Revisión: 1

Comentarios