Síntomas
Si renueva un certificado de emisor de licencias de servidor (SLC) para el clúster de Windows Rights Management Services (RMS) puede observar que la fecha de vencimiento de la nueva SLC extiende 2032 el año pasado. Anteriormente, licencias emitidos por clústeres de Microsoft para Windows Rights Management Services tenían una duración de un año y tenían que ser renovado cada año.
Causa
Los clústeres de servicios de Windows Rights Management que se basan en Windows Server 2003 o Windows Server 2003 R2 utilizan un certificado de raíz (también denominado certificado de emisor de licencias de servidor o SLC) emitido por un servicio hospedado por Microsoft. Originalmente, estos certificados se emiten con una duración de un año, lo que significa que debe ser renovadas cada año para el clúster de RMS continuar trabajando.
El ciclo de vida del soporte técnico de Windows Server 2003 se establece en caducar en julio de 2015, por lo que Microsoft cambia la duración de las licencias que se emitan 7150 días para servicios de Windows Rights Management. Este cambio se realizó para permitir que los servidores de servicios de Windows Rights Management y clústeres para seguir trabajando después de que el servicio que se utilizara para emitir licencias es baja después del final del soporte técnico de Windows Server 2003.
Este cambio no afecta al estado de compatibilidad de clústeres de Windows Rights Management Services que se ejecutan en la plataforma Windows Server 2003. Los clientes con clústeres de Windows RMS basados en Windows Server 2003 se recomienda actualizar a Active Directory Rights Management Services (AD RMS) o a la protección de información de Microsoft Azure (anteriormente llamado Azure Rights Management) antes de que termine de compatibilidad de Windows Server 2003.
Los clústeres de Active Directory Rights Management Services ejecuta en Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012 no se ven afectados por este cambio. Ejecuta en estas plataformas de uso una SLC que tiene una vida útil de 256 años de clústeres de AD RMS y no requiere provisioning o renovación por parte de Microsoft.
Solución
Si ya ha recibido un nuevo SLC con una duración de días 7150 que no necesita actuar. Este certificado es válido y no es necesario renovar otra vez.
Si aún no has recibido un SLC con una duración de días 7150 que debe renovar tan pronto como sea posible, incluso si el certificado actual está dentro de su ciclo de vida válido. Esto permitirá que su servidor funcione independientemente desde el servicio de inscripción alojado por Microsoft y evitará los problemas de caducidad de certificado en las cadenas de certificados existente.
Para renovar el certificado para Windows RMS, consulte para renovar un certificado emisor de licencias de servidor en Microsoft TechNet.
Más información
Con este cambio, Microsoft también renovar certificados intermedios de la cadena para que no caduquen en el corto plazo, que permite a los clústeres de Windows Rights Management Services continuar funcionando hasta el final del ciclo de vida de soporte del producto.
Para obtener más información acerca del ciclo de vida de soporte de Windows Server 2003, vea Ciclo de vida de soporte técnico de Microsoft.
Advertencia: esta actualización permite que Windows Rights Management Services continuar funcionando hasta el final del ciclo de vida de soporte técnico de Windows Server 2003, sin embargo, la clave RSA en certificados que se usan en Windows Server 2003 se limita a 1.024 bits. Según el Instituto nacional de estándares y tecnología (NIST) y RSA, la longitud de este certificado ya no se recomienda. Actualmente, se recomienda utilizar claves de al menos 2.048 bits. Las claves RSA de 2.048 bits longitudes son compatibles con AD RMS que se ejecutan en Windows Server 2008 R2 o Windows Server 2012 además de la protección de la información de Azure.
Para obtener información adicional acerca de las recomendaciones de longitud de la clave RSA, vea MOLINETE y el tamaño de clave RSA.
