Los clientes no pueden autenticarse con un servidor después de obtener un nuevo certificado para reemplazar un certificado expirado en el servidor.
En este artículo se proporciona una solución a un problema en el que los clientes no pueden autenticarse con un servidor después de obtener un nuevo certificado para reemplazar un certificado expirado en el servidor.
Se aplica a: Windows 10 (todas las ediciones), Windows Server 2012 R2
Número de KB original: 822406
Síntomas
Después de reemplazar un certificado expirado por un nuevo certificado en un servidor que ejecuta microsoft Internet Authentication Service (IAS) o enrutamiento y acceso remoto, los clientes que tienen la autenticación extensible Protocol-Transport seguridad de la capa (EAP-TLS) configurada para comprobar que el certificado del servidor ya no se puede autenticar con el servidor. Al ver el inicio de sesión del sistema Visor de eventos en el equipo cliente, se muestra el siguiente evento.
Si habilita el registro detallado en el servidor que ejecuta IAS o enrutamiento y acceso remoto (por ejemplo, mediante la ejecución del netsh ras set tracing * enable comando ), se muestra información similar a la siguiente en el archivo Rastls.log que se genera cuando un cliente intenta autenticarse.
Nota:
Si usa IAS como servidor radius para la autenticación, verá este comportamiento en el servidor IAS. Si usa enrutamiento y acceso remoto, y el enrutamiento y el acceso remoto están configurados para la autenticación de Windows (no la autenticación radius), verá este comportamiento en el servidor de enrutamiento y acceso remoto.
[1072] 15:47:57:280: CRYPT_E_NO_REVOCATION_CHECK no se omitirá
[1072] 15:47:57:280: CRYPT_E_REVOCATION_OFFLINE no se omitirá
[1072] 15:47:57:280: No se comprobará la revocación del certificado raíz
[1072] 15:47:57:280: Se comprobará la revocación del certificado
[1072] 15:47:57:280:
[1072] 15:47:57:280: EapTlsMakeMessage(Example\client)
[1072] 15:47:57:280: >> Paquete de respuesta recibida (código: 2): Id.: 11, Length: 25, Type: 0, TLS blob length: 0. Banderas:
[1072] 15:47:57:280: EapTlsSMakeMessage
[1072] 15:47:57:280: EapTlsReset
[1072] 15:47:57:280: Cambio de estado a Inicial
[1072] 15:47:57:280: GetCredentials
[1072] 15:47:57:280: El nombre del certificado es: server.example.com
[1072] 15:47:57:312: BuildPacket
[1072] 15:47:57:312: << Enviar paquete de solicitud (código: 1): Id.: 12, Longitud: 6, Tipo: 13, Longitud del blob TLS: 0. Marcas: S
[1072] 15:47:57:312: Cambio de estado a SentStart
[1072] 15:47:57:312:
[1072] 15:47:57:312: EapTlsEnd(Example\client)
[1072] 15:47:57:312:
[1072] 15:47:57:312: EapTlsEnd(Example\client)
[1072] 15:47:57:452:
[1072] 15:47:57:452: EapTlsMakeMessage(Example\client)
[1072] 15:47:57:452: >> Paquete de respuesta recibida (código: 2): id.: 12, longitud: 80, tipo: 13, longitud del blob TLS: 70. Marcas: L
[1072] 15:47:57:452: EapTlsSMakeMessage
[1072] 15:47:57:452: MakeReplyMessage
[1072] 15:47:57:452: Reasignación del búfer de blobs TLS de entrada
[1072] 15:47:57:452: SecurityContextFunction
[1072] 15:47:57:671: Cambio de estado a SentHello
[1072] 15:47:57:671: BuildPacket
[1072] 15:47:57:671: << Enviar paquete de solicitud (código: 1): Id.: 13, Length: 1498, Type: 13, TLS blob length: 3874. Marcas: LM
[1072] 15:47:57:702:
[1072] 15:47:57:702: EapTlsMakeMessage(Example\client)
[1072] 15:47:57:702: >> Paquete de respuesta recibida (código: 2): Id.: 13, Length: 6, Type: 13, TLS blob length: 0. Banderas:
[1072] 15:47:57:702: EapTlsSMakeMessage
[1072] 15:47:57:702: BuildPacket
[1072] 15:47:57:702: << Enviar paquete de solicitud (código: 1): Id.: 14, Length: 1498, Type: 13, TLS blob length: 0. Marcas: M
[1072] 15:47:57:718:
[1072] 15:47:57:718: EapTlsMakeMessage(Example\client)
[1072] 15:47:57:718: >> Paquete de respuesta recibida (código: 2): Id.: 14, Length: 6, Type: 13, TLS blob length: 0. Banderas:
[1072] 15:47:57:718: EapTlsSMakeMessage
[1072] 15:47:57:718: BuildPacket
[1072] 15:47:57:718: << Enviar paquete de solicitud (código: 1): Id.: 15, Length: 900, Type: 13, TLS blob length: 0. Banderas:
[1072] 15:48:12:905:
[1072] 15:48:12:905: EapTlsMakeMessage(Example\client)
[1072] 15:48:12:905: >> Paquete de respuesta recibida (código: 2): Id.: 15, Length: 6, Type: 13, TLS blob length: 0. Banderas:
[1072] 15:48:12:905: EapTlsSMakeMessage
[1072] 15:48:12:905: MakeReplyMessage
[1072] 15:48:12:905: SecurityContextFunction
[1072] 15:48:12:905: Cambio de estado a SentFinished. Error: 0x80090318
[1072] 15:48:12:905: Negociación infructuosa
[1072] 15:48:12:905: BuildPacket
[1072] 15:48:12:905: << Envío de paquetes de error (código: 4): Id.: 15, Length: 4, Type: 0, TLS blob le
Causa
Este problema puede producirse si se cumplen todas las condiciones siguientes:
- El servidor IAS o enrutamiento y acceso remoto es un miembro del dominio, pero la funcionalidad de solicitudes de certificado automáticas (inscripción automática) no está configurada en el dominio. O bien, el IAS o el servidor de enrutamiento y acceso remoto no es un miembro de dominio.
- Solicite y reciba manualmente un nuevo certificado para el IAS o el servidor de enrutamiento y acceso remoto.
- No se quita el certificado expirado del IAS ni del servidor de enrutamiento y acceso remoto. Si un certificado expirado está presente en el servidor de IAS o enrutamiento y acceso remoto junto con un nuevo certificado válido, la autenticación de cliente no se realiza correctamente. El resultado "Error 0x80090328" que se muestra en el registro de eventos en el equipo cliente corresponde a "Certificado expirado".
Solución alternativa
Para solucionar este problema, quite el certificado expirado (archivado). Para ello, siga estos pasos:
- Abra el complemento Microsoft Management Console (MMC) donde administra el almacén de certificados en el servidor IAS. Si aún no tiene un complemento MMC desde el que ver el almacén de certificados, cree uno. Para ello:
Seleccione Inicio, seleccione Ejecutar, escriba mmc en el cuadro Abrir y, a continuación, seleccione Aceptar.
En el menú Consola (el menú Archivo de Windows Server 2003), seleccione Agregar o quitar complemento y, a continuación, seleccione Agregar.
En la lista Complementos independientes disponibles , seleccione Certificados, Agregar, Cuenta de equipo, Siguiente y Finalizar.
Nota:
También puede agregar el complemento Certificados para la cuenta de usuario y para la cuenta de servicio a este complemento MMC.
Seleccione Cerrar y, luego, Aceptar.
- En Raíz de la consola, seleccione Certificados (equipo local).
- En el menú Ver , seleccione Opciones.
- Haga clic para activar la casilla Certificados archivados y, a continuación, seleccione Aceptar.
- Expanda Personal y, a continuación, seleccione Certificados.
- Haga clic con el botón derecho en el certificado digital expirado (archivado), seleccione Eliminar y, a continuación, seleccione Sí para confirmar la eliminación del certificado expirado.
- Salga del complemento MMC. No es necesario reiniciar el equipo ni ningún servicio para completar este procedimiento.
Más información
Microsoft recomienda configurar solicitudes de certificados automáticas para renovar certificados digitales en su organización. Para obtener más información, vea Inscripción automática de certificados en Windows XP
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de