Servicios de Certificate Server no se inicia en un equipo que ejecuta Windows Server 2003 o Windows 2000


Síntomas


En un equipo que ejecuta Microsoft Windows Server 2003 o Microsoft Windows 2000 Server, servicios de Certificate Server puede no iniciarse.

Además, puede anotarse el siguiente mensaje de error en el registro de aplicación en el Visor de sucesos:

Causa


Antes de iniciar servicios de Certificate Server, enumera todas las claves y los certificados que se han emitido a la entidad emisora de certificados (CA), incluso si las claves y los certificados que han caducado. Servicios de Certificate Server no se iniciarán si alguno de estos certificados se eliminó desde el almacén de certificados personales del equipo local.

Solución


Para resolver este problema, compruebe que el número de huellas digitales de certificados en el registro es igual al número de certificados que se han emitido a la entidad emisora. Si faltan los certificados, importar los certificados que faltan en el almacén de certificados personales del equipo local. Después de haber importado los certificados que faltan, utilice el comando certutil - repairstore para reparar el vínculo entre los certificados importados y el almacén de claves privado asociado.

Para ello, utilice uno de los métodos siguientes, dependiendo de la versión del sistema operativo de su equipo se está ejecutando.

Método 1: Windows Server 2003

Para resolver este problema en un equipo basado en Windows Server 2003, siga estos pasos.

Paso 1: Busque los certificados que faltan

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows


Las huellas digitales de certificados indican todos los certificados que se han emitido a esta CA. Cada vez que se renueve un certificado, una huella digital del certificado nuevo se agrega a la lista CaCertHash en el registro. El número de entradas en esta lista debe ser igual al número de certificados que se emiten a la entidad emisora y que figuran en el almacén de certificados personales del equipo local.

Para buscar certificados que faltan, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
  2. Busque y, a continuación, haga clic en la subclave siguiente:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Your_Certificate_Authority_Name
  3. En el panel derecho, haga doble clic en CaCertHash.
  4. Anote el número de huellas digitales de certificados que contiene la lista de datos de valor .
  5. Inicie el símbolo del sistema.
  6. Escriba el comando siguiente y, a continuación, presione ENTRAR:
    certutil-almacenar
    Comparar el número de certificados que se enumeran en el almacén de certificados personales del equipo local en el número de huellas digitales de certificados que se enumeran en la entrada del registro CaCertHash. Si los números son diferentes, vaya a "paso 2: importar los certificados que falta." Si los números son iguales, vaya a "paso 3: instalar Windows Server 2003 Administration Tools Pack."

Paso 2: Importar los certificados que faltan

  1. Haga clic en Inicio, seleccione Todos los programas, seleccione Herramientas administrativasy, a continuación, haga clic en certificados.

    Si no aparece en la lista de certificados , siga estos pasos:
    1. Haga clic en Inicio, haga clic en Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.
    2. En el menú archivo , haga clic en Agregar o quitar complemento.
    3. Haga clic en Agregar.
    4. En la lista de complementos , haga clic en certificadosy, a continuación, haga clic en Agregar.

      Si aparece el cuadro de diálogo complemento de certificados , haga clic en Mi cuenta de usuarioy, a continuación, haga clic en Finalizar.
    5. Haga clic en Cerrary, a continuación, haga clic en Aceptar.

      El directorio de certificados se agrega ahora a Microsoft Management Console (MMC).
    6. En el menú archivo , haga clic en Guardar como, escriba certificados en el cuadro nombre de archivo y, a continuación, haga clic en Guardar.

      Para abrir certificados en el futuro, haga clic en Inicio, seleccione Todos los programas, seleccione Herramientas administrativasy, a continuación, haga clic en certificados.
  2. Expanda certificados, expanda Personal, haga clic en certificados, seleccione Todas las tareasy, a continuación, haga clic en Importar.
  3. En la página bienvenida , haga clic en siguiente.
  4. En la página archivo para importar , escriba la ruta de acceso completa al archivo de certificado que desea importar en el cuadro nombre de archivo y, a continuación, haga clic en siguiente. O bien, haga clic en Examinar, busque el archivo y, a continuación, haga clic en siguiente.
  5. Si el archivo que desea importar es un intercambio de información Personal: PKCS #12 (*. Archivo PFX), se le pedirá la contraseña. Escriba la contraseña y, a continuación, haga clic en siguiente.
  6. En la página Almacén de certificados , haga clic en siguiente.
  7. En la página Finalización del Asistente para importación de certificados , haga clic en Finalizar.
Nota: La entidad emisora publica siempre sus certificados de entidad emisora de certificados en la carpeta %systemroot%\System32\CertSvc\CertEnroll. Es posible que los certificados que faltan en esa carpeta.

Paso 3: Instalar Windows Server 2003 Administration Tools Pack

Después de importar los certificados, debe utilizar la herramienta Certutil para reparar el vínculo entre los certificados importados y el almacén de claves privado asociado. La herramienta Certutil se incluye en las herramientas de certificado de entidad emisora de certificados. Herramientas de certificado de entidad emisora de certificados de Windows Server 2003 se encuentran en Windows Server 2003 Administration Tools Pack. Si las herramientas de certificado de entidad emisora de certificados no están instaladas en el equipo, instálelos ahora.

Para descargar el paquete de herramientas de administración de Windows Server 2003, visite el siguiente sitio Web de Microsoft:

Paso 4: Reparar los vínculos

Después de instalar Windows Server 2003 Administration Tools Pack, siga estos pasos:
  1. Inicie el símbolo del sistema.
  2. Escriba lo siguiente y, a continuación, presione ENTRAR:
    CD %systemroot%\system32\certsrv\certenroll
  3. Tome nota del certificado en la carpeta Certenroll que parece similar al siguiente:
    Your_Server.Your_Domain.com_rootca.crt
  4. Escriba los comandos siguientes y presione ENTRAR después de cada comando:
    %systemroot%\system32\certutil - addstore mi %systemroot%\system32\certsrv\certenroll\suServidor. SuDominio. com_rootca.crt
    %systemroot%\System32\certutil-%systemroot%\system32\certsrv\certenroll\suServidorde volcado. SuDominio. com_rootca.crt
    SuServidor. SuDominio. com_rootca.crt es el nombre del certificado en la carpeta Certenroll que anotó en el paso 3.
  5. En el resultado del último comando, casi al final, verá una línea similar a la siguiente:
    Clave Id de hash (SHA1): ea c7 7D 7e e8 cd 84 9b e8 aa 71 6 f4 d b7 e5 09 d9 b6 32 1b
    Los datos de clave Hash de Id son específicos para su equipo. Tome nota de esta línea.
  6. Escriba el comando siguiente, incluidas las comillas y, a continuación, presione ENTRAR:
    %systemroot%\system32\certutil - repairstore mi "Key_Id_Hash_Data"
    En este comando, Key_Id_Hash_Data es la línea que anotó en el paso 4. Por ejemplo, escriba lo siguiente:
    %systemroot%\system32\certutil - repairstore mi "ea c7 7D 7e e8 cd 84 9b e8 aa 71 6 f4 d b7 e5 09 d9 b6 32 1b"
    A continuación, recibirá el siguiente resultado:
    CertUtil: - repairstore comando completado correctamente.
  7. Para comprobar los certificados, escriba lo siguiente y, a continuación, presione ENTRAR:
    %systemroot%\system32\certutil - verifykeys
    Una vez ejecutado este comando, recibirá el siguiente resultado:
    CertUtil: - verifykeys comando completado correctamente.

Paso 5: Iniciar el servicio servicios de Certificate Server

  1. Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Servicios.
  2. Haga clic en Servicios de Certificate Servery, a continuación, haga clic en Inicio.

Método 2: Windows 2000

Para resolver este problema en un equipo basado en Windows 2000, siga estos pasos.

Paso 1: Busque los certificados que faltan

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows


Las huellas digitales de certificados indican todos los certificados que se han emitido a esta CA. Cada vez que se renueve un certificado, una huella digital del certificado nuevo se agrega a la lista CaCertHash en el registro. El número de entradas en esta lista debe ser igual al número de certificados que se emiten a la entidad emisora y que figuran en el almacén de certificados personales del equipo local.

Para buscar certificados que faltan, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
  2. Busque y, a continuación, haga clic en la subclave siguiente:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Your_Certificate_Authority_Name
  3. En el panel derecho, haga doble clic en CaCertHash.
  4. Anote el número de huellas digitales de certificados que contiene la lista de datos de valor .
  5. Inicie el símbolo del sistema.
  6. Escriba lo siguiente y, a continuación, presione ENTRAR:
    certutil-almacenar
    Comparar el número de certificados que se enumeran en el almacén de certificados personales del equipo local en el número de huellas digitales de certificados que se enumeran en la entrada del registro CaCertHash. Si los números son diferentes, vaya a "paso 2: importar los certificados que falta." Si los números son iguales, vaya a "paso 3: instalar Windows Server 2003 Administration Tools Pack."

Paso 2: Importar los certificados que faltan

  1. Haga clic en Inicio, seleccione programas, seleccione Herramientas administrativasy, a continuación, haga clic en certificados.

    Si no aparece en la lista de certificados, siga estos pasos:
    1. Haga clic en Inicio, haga clic en Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.
    2. En el menú consola , haga clic en Agregar o quitar complemento.
    3. Haga clic en Agregar
    4. En la lista de complementos , haga clic en certificadosy, a continuación, haga clic en Agregar.

      Si aparece el cuadro de diálogo complemento de certificados , haga clic en Mi cuenta de usuarioy, a continuación, haga clic en Finalizar.
    5. Haga clic en Cerrar.
    6. Haga clic en Aceptar.
    7. El directorio de certificados se agrega ahora a Microsoft Management Console (MMC).
    8. En el menú consola , haga clic en Guardar como, escriba certificados como nombre de archivo y, a continuación, haga clic en Guardar.

      Para abrir certificados en el futuro, haga clic en Inicio, seleccione programas, seleccione Herramientas administrativasy, a continuación, haga clic en certificados.
  2. Expanda certificados, expanda Personal, haga clic en certificados, seleccione Todas las tareasy, a continuación, haga clic en Importar.
  3. En la página bienvenida , haga clic en siguiente.
  4. En la página archivo para importar , escriba la ruta de acceso completa al archivo de certificado que desea importar en el cuadro nombre de archivo y, a continuación, haga clic en siguiente. O bien, haga clic en Examinar, busque el archivo y, a continuación, haga clic en siguiente.
  5. Si el archivo que desea importar es un intercambio de información Personal: PKCS #12 (*. (PFX), se le pedirá la contraseña. Escriba la contraseña y, a continuación, haga clic en siguiente.
  6. En la página Almacén de certificados , haga clic en siguiente.
  7. En la página Finalización del Asistente para importación de certificados , haga clic en Finalizar.
Nota: La entidad emisora publica siempre sus certificados de entidad emisora de certificados en la carpeta %systemroot%\System32\CertSvc\CertEnroll. Es posible que los certificados que faltan en esa carpeta.

Paso 3: Instalar las herramientas de Certutil de Windows Server 2003

Después de importar los certificados, debe utilizar las herramientas de certificado de CA de Windows Server 2003 para reparar el vínculo entre los certificados importados y el almacén de claves privado asociado.

Las versiones de Windows Server 2003 de Certutil.exe y Certreq.exe se incluyen en Windows Server 2003 Administration Tools Pack. Para instalar las herramientas en un equipo basado en Windows 2000, primero debe instalar Windows Server 2003 Administration Tools Pack en un equipo que está ejecutando Windows Server 2003 o Microsoft Windows XP con Service Pack 1 (SP1) o con un service pack posterior. Windows Server 2003 Administration Tools Pack no puede instalarse directamente en un equipo basado en Windows 2000.

Importante: Después de copiar la herramientas de certificado de entidad emisora de certificados de Windows Server 2003 en el equipo basado en Windows 2000, dos versiones de la herramienta Certutil residirán en el equipo basado en Windows 2000. No quite la herramienta Certutil de Windows 2000. Otros programas dependen de la versión de Windows 2000 de esta herramienta. Por ejemplo, el complemento MMC certificados requiere la herramienta Certutil de Windows 2000. Además, no registre el Windows Server 2003 Certcli.dll y Certadm.dll archivos en el equipo basado en Windows 2000.

Para utilizar herramientas de certificado de entidad emisora de certificados de Windows Server 2003 en un equipo basado en Windows 2000, siga estos pasos:
  1. Descargar el paquete de herramientas de administración de Windows Server 2003. Para ello, visite el siguiente sitio web de Microsoft:
  2. Inicie sesión en un equipo que ejecuta Windows Server 2003 o Windows XP con SP1 o con un service pack posterior.
  3. Instalar Windows Server 2003 Administration Tools Pack.
  4. En Windows Server 2003 Administration Tools Pack, busque los siguientes archivos y, a continuación, copiarlos en un medio de almacenamiento extraíble, como un disco de 3,5 pulgadas:
    Certreq.exe
    Certutil.exe
    Certcli.dll
    Certadm.dll
  5. Inicie sesión en el equipo basado en Windows 2000 como administrador.
  6. Inserte el medio de almacenamiento extraíble que utilizó en el paso 4 en la unidad correspondiente del equipo basado en Windows 2000.
  7. Inicie el símbolo del sistema.
  8. Cree una nueva carpeta y, a continuación, copie los archivos en el medio de almacenamiento extraíble a la nueva carpeta. Para ello, escriba los comandos siguientes y presione ENTRAR después de cada comando:
    cd\
    MD W2k3tool
    CD w2k3tool
    copiar Removable_Media_Drive_Letter: \cert*
    Nota: Para evitar conflictos con las versiones de Windows 2000 de la herramienta Certutil que ya está en el equipo, no incluya la carpeta W2k3tool en la ruta de búsqueda del sistema.

Paso 4: Reparar los vínculos

Una vez que haya copiado los archivos de herramientas de certificado de entidad emisora de certificados de Windows Server 2003 en el equipo basado en Windows 2000, siga estos pasos:
  1. Inicie el símbolo del sistema.
  2. Escriba lo siguiente y, a continuación, presione ENTRAR:
    CD %systemroot\system32\certsrv\certenroll
  3. Tome nota del certificado en la carpeta Certenroll similar a lo siguiente: suServidor. Sudominio. com_rootca.crt
  4. Escriba los comandos siguientes y presione ENTRAR después de cada comando:
    Root_Drive_Letter: \w2k3tool\certutil - addstore mi %systemroot%\system32\certsrv\certenroll\suServidor. SuDominio. com_rootca.crt
    Root_Drive_Letter: \w2k3tool\certutil-%systemroot%\system32\certsrv\certenroll\suServidorde volcado. SuDominio. com_rootca.crt
    Root_Drive_Letter es la letra del directorio raíz.

    SuServidor. SuDominio. com_rootca.crt es el nombre del certificado en la carpeta Certenroll que anotó en el paso 3.
  5. En el resultado del último comando, casi al final, verá una línea similar a la siguiente:
    Clave Id de hash (SHA1): ea c7 7D 7e e8 cd 84 9b e8 aa 71 6 f4 d b7 e5 09 d9 b6 32 1b
    Los datos de clave Hash de Id son específicos para su equipo. Tome nota de esta línea.
  6. Escriba el comando siguiente, incluidas las comillas y presione ENTRAR:
    Root_Drive_Letter: \w2k3tool\certutil - repairstore mi "Key_Id_Hash_Data"
    En este comando, Key_Id_Hash_Data es la línea que anotó en el paso 5. Por ejemplo, escriba lo siguiente:
    c:\w2k3tool\certutil - repairstore mi "ea c7 7D 7e e8 cd 84 9b e8 aa 71 6 f4 d b7 e5 09 d9 b6 32 1b"
    Después de completar este comando, recibirá el siguiente resultado:
    CertUtil: - repairstore comando completado correctamente.
  7. Para comprobar los certificados, escriba el comando siguiente y, a continuación, presione ENTRAR:
    Root_Drive_Letter: \w2k3tool\certutil - verifykeys
    Una vez ejecutado este comando, recibirá el siguiente resultado:
    CertUtil: - verifykeys comando completado correctamente.

Paso 5: Iniciar el servicio servicios de Certificate Server

  1. Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Servicios.
  2. Haga clic en Servicios de Certificate Servery, a continuación, haga clic en Inicio.

Más información


Debe retirar y sustituir la CA si se cumple alguna de las condiciones siguientes:
  • No puede encontrar los certificados que faltan.
  • Los certificados no se pueden reinstalar.
  • No se puede completar el comando certutil - repairstore porque se han quitado las claves privadas.
Para retirar y reemplazar la entidad emisora de certificados, siga estos pasos:
  1. Revocar los certificados de la CA que ha dejado de funcionar correctamente. Para ello, siga estos pasos:
    1. Inicie sesión como administrador en el equipo que emite los certificados que desea revocar.
    2. Haga clic en Inicio, seleccione programas, seleccione Herramientas administrativasy, a continuación, haga clic en Entidad emisora de certificados.
    3. Expanda CA_Namey, a continuación, haga clic en Certificados emitidos.
    4. En el panel derecho, haga clic en el certificado que desea revocar.
    5. En el menú acción , seleccione Todas las tareasy, a continuación, haga clic en Revocar certificado.
    6. En la lista código de motivo , haga clic en el motivo para revocar el certificado y, a continuación, haga clic en .
    Esto revoca todos los certificados emitidos por la CA que ha dejado de funcionar correctamente.
  2. Publicar la lista de revocación de certificados (CRL) en el siguiente nivel superior CA. Para ello, siga estos pasos:
    1. Inicie sesión como administrador en el equipo que está ejecutando la siguiente entidad más alto.
    2. Haga clic en Inicio, seleccione programas, seleccione Herramientas administrativasy, a continuación, haga clic en Entidad emisora de certificados.
    3. Expanda CA_Namey, a continuación, haga clic en Certificados revocados.
    4. En el menú acción , seleccione Todas las tareasy, a continuación, haga clic en Publicar.
    5. Haga clic en para sobrescribir la CRL anteriormente publicada.
  3. Si se ha publicado la CA que ha dejado de funcionar correctamente a servicios de directorio de Active Directory, quítelo. Para quitar la entidad emisora de certificados de Active Directory, siga estos pasos:
    1. Inicie el símbolo del sistema.
    2. Escriba lo siguiente y, a continuación, presione ENTRAR:
      certutil - dsdel CA_Name
  4. Quitar servicios de Certificate Server desde el servidor donde ha detenido la CA funciona correctamente. Para ello, siga estos pasos:
    1. Haga clic en Inicio, seleccione Configuración y, a continuación, haga clic en Panel de control.
    2. Haga doble clic en Agregar o quitar programasy, a continuación, haga clic en Agregar o quitar componentes de Windows.
    3. En la lista componentes , haga clic para desactivar la casilla de verificación Servicios de Certificate Server , haga clic en siguientey, a continuación, haga clic en Finalizar.
  5. Instalar servicios de Certificate Server. Para ello, siga estos pasos:
    1. Haga clic en Agregar o quitar componentes de Windows.
    2. En la lista componentes , haga clic para seleccionar la casilla de verificación Servicios de Certificate Server , haga clic en siguientey, a continuación, haga clic en Finalizar.
  6. Todos los usuarios, los equipos o los servicios con certificados emitidos por la CA que ha dejado de funcionar correctamente deben inscribirse para obtener certificados de la entidad emisora nueva.
Nota: Si este problema se produce en la entidad emisora raíz de la jerarquía de infraestructura de claves públicas (PKI) y no se puede reparar el problema, tendrá que reemplazar toda la jerarquía PKI. Para obtener información adicional acerca de cómo quitar la jerarquía PKI, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

889250 cómo dar de baja una entidad de certificación empresarial de Windows y cómo quitar todos los objetos relacionados de Windows Server 2003 y de Windows 2000 Server