Síntomas
Imagine el siguiente escenario:
-
Está ejecutando un equipo basado en Windows Server 2008 que tiene un proveedor de terceros almacenamiento de claves (KSP) instalado.
-
El KSP de terceros no permite la firma de hash SHA1. El KSP puede configurarse para impedir la firma de hash de SHA1 o podría no admitirlo.
-
Instalar el rol Servicios de certificados de Active Directory en el equipo. Al hacerlo, puede configurar servicios de Certificate Server para utilizar el KSP para la clave privada de entidad emisora de certificados (CA).
En este escenario, el servicio de servicios de certificados de Active Directory no se inicia. Además, se graba el suceso siguiente en el registro del sistema:notas
-
En este caso, el nombreDeCA
marcador de posición representa el nombre de la entidad emisora de certificados está instalado. El marcador de posición de ErrorDescription representa el error que devuelve el KSP de terceros cuando este KSP se solicita firmar un valor de hash SHA1. El error real depende de la implementación de terceros KSP. -
Este problema no ocurre si se utiliza un KSP Microsoft, ya que los proveedores de almacenamiento de claves de Microsoft admite hash SHA1 de firma en la configuración predeterminada.
Causa
Cuando se inicia el servicio servicios de certificados de Active Directory, comprueba la clave privada mediante la firma de un hash SHA1 aleatorio. Si no permite el KSP que se utiliza para la clave privada para el hash SHA1 de firma, el servicio de servicios de certificados de Active Directory no se inicia.
Solución
Información de la revisión
Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten este problema específico. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.
Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.
Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.
Revisiones importantes de Windows Vista y Windows Server 2008 se incluyen en los mismos paquetes. Sin embargo, sólo uno de estos productos puede aparecer en la página "Solicitud de revisión". Para solicitar el paquete de revisiones que se aplica a Windows Vista y Windows Server 2008, seleccione el producto que aparece en la página.
Requisitos previos
No hay requisitos previos.
Requisito de reinicio
Debe reiniciar el equipo después de aplicar este hotfix.
Nota: Después de aplicar este hotfix, no es necesario volver a instalar el rol Servicios de certificados de Active Directory.
Información de reemplazo de revisión
Este hotfix no sustituye a otras revisiones.
Información de archivo
La versión en inglés de esta revisión tiene los atributos de archivo (o atributos del archivo más reciente) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria en el elemento de Fecha y hora del Panel de control.
Windows Server 2008, versiones basadas en x86
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Package_1_for_kb952722~31bf3856ad364e35~x86~~6.0.1.0.mum |
No aplicable |
1.992 |
19-May-2008 |
22:15 |
No aplicable |
|
Package_for_kb952722_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
No aplicable |
1,622 |
19-May-2008 |
22:15 |
No aplicable |
|
Package_for_kb952722_server~31bf3856ad364e35~x86~~6.0.1.0.mum |
No aplicable |
1.430 |
19-May-2008 |
22:15 |
No aplicable |
|
X86_1cd79ffea2bc8f290081325b9cc190b6_31bf3856ad364e35_6.0.6001.22181_none_b50be989593b1534.manifest |
No aplicable |
710 |
19-May-2008 |
22:15 |
No aplicable |
|
X86_microsoft-windows-certificateservices-ca_31bf3856ad364e35_6.0.6001.22181_none_db3b802863c3238b.manifest |
No aplicable |
34,874 |
17-May-2008 |
04:41 |
No aplicable |
|
Certsrv.exe |
6.0.6001.22181 |
522,240 |
17-May-2008 |
02:52 |
x86 |
|
Certsvcctrs.h |
No aplicable |
1.721 |
18-Dec-2007 |
21:29 |
No aplicable |
|
Certsvcctrs.ini |
No aplicable |
4,020 |
18-Dec-2007 |
21:29 |
No aplicable |
|
Microsoft-windows-certificateservices-ca-ppdlic.xrm-ms |
No aplicable |
4,269 |
17-May-2008 |
02:59 |
No aplicable |
Windows Server 2008, versiones basadas en x64
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Amd64_ae417594053b0b57a2d3ba5ebd122e63_31bf3856ad364e35_6.0.6001.22181_none_19c56f235a27140e.manifest |
No aplicable |
714 |
19-May-2008 |
22:15 |
No aplicable |
|
Amd64_microsoft-windows-certificateservices-ca_31bf3856ad364e35_6.0.6001.22181_none_375a1bac1c2094c1.manifest |
No aplicable |
34,930 |
17-May-2008 |
11:20 |
No aplicable |
|
Package_1_for_kb952722~31bf3856ad364e35~amd64~~6.0.1.0.mum |
No aplicable |
2.004 |
19-May-2008 |
22:15 |
No aplicable |
|
Package_for_kb952722_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
No aplicable |
1,632 |
19-May-2008 |
22:15 |
No aplicable |
|
Package_for_kb952722_server~31bf3856ad364e35~amd64~~6.0.1.0.mum |
No aplicable |
1,438 |
19-May-2008 |
22:15 |
No aplicable |
|
Certsrv.exe |
6.0.6001.22181 |
713,216 |
17-May-2008 |
03:20 |
x64 |
|
Certsvcctrs.h |
No aplicable |
1.721 |
18-Dec-2007 |
21:29 |
No aplicable |
|
Certsvcctrs.ini |
No aplicable |
4,020 |
18-Dec-2007 |
21:29 |
No aplicable |
|
Microsoft-windows-certificateservices-ca-ppdlic.xrm-ms |
No aplicable |
4,269 |
17-May-2008 |
11:14 |
No aplicable |
Estado
Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".
Más información
Para obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824684 descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft
