Cómo solucionar los errores de validación del certificado

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2007-04-13

Puede que se reciban los siguientes errores en la Consola del operador si utiliza Microsoft Operations Manager 2005 o en la consola del operador si utiliza un System Center Operations Manager 2007 cuando un certificado no se puede validar. Los errores también pueden aparecer como eventos de registro de aplicación. En este tema se explica cómo resolver estos errores o se refiere a la documentación que puede ayudar a resolver los errores de validación de certificados.

Para obtener más información acerca de cómo el servicio de transporte de Microsoft Exchange selecciona certificados para Seguridad de nivel de transporte (TLS), consulte Selección de certificado TLS de SMTP.

Errores de validación de certificados o mensajes de estado

  • El certificado es válido pero es autofirmado.   Este error es un mensaje de estado informativo. De forma predeterminada, el certificado instalado con Microsoft Exchange Server 2007 es autofirmado. Normalmente se recomienda utilizar certificados de una entidad de certificación (CA) externa.

    Para obtener más información, vea Cómo habilitar la PKI en la función de servidor de transporte perimetral para la seguridad del dominio (en inglés).

  • El asunto del certificado no coincide con el valor pasado.   Este mensaje de estado indica que el nombre de dominio de los campos de nombre de asunto o de nombre alternativo de asunto no coincide con el nombre de dominio completo (FQDN) del remitente ni con el nombre de dominio del receptor. Para corregir este error, se debe crear un nuevo certificado donde el FQDN del conector de envío o del conector de recepción coincida con el que intenta validar este certificado.

    Para obtener más información, consulte Creación de un certificado o de una solicitud de certificado para TLS.

  • La firma del certificado no se puede comprobar.   Este mensaje de estado indica que el servicio de Transporte de Microsoft Exchange no pudo validar la cadena de certificados o que la clave pública que se utilizó para validar la firma del certificado no es la clave correcta.

    Para obtener más información, consulte Notas del producto sobre seguridad en Exchange 2007 (en inglés).

  • Se ha procesado una cadena de certificados, pero terminó en un certificado raíz que no es de confianza para el proveedor de confianza.   Este mensaje de estado indica que el almacén de certificados del equipo no confía en el certificado que se utilizó para esta operación. Para confiar en este certificado, la entidad de certificación raíz debe estar presente en el almacén de certificados de este equipo.

    Para obtener más información acerca de cómo agregar certificados manualmente al almacén de certificados local, consulte el archivo de Ayuda del complemento Administrador de certificados en la Consola de administración (MMC) de Microsoft.

  • El certificado no es válido para el uso solicitado.   Este mensaje de estado indica que debe habilitar el certificado para que se pueda utilizar en la aplicación actual. Por ejemplo, si intenta utilizar este certificado para la seguridad de dominio, el certificado se debe habilitar para el Protocolo simple de transferencia de correo (SMTP).

    Para obtener más información acerca de cómo habilitar certificados, consulte Enable-ExchangeCertificate.

    De manera alternativa, este mensaje de estado puede indicar que el certificado que utiliza no tiene los datos actuales en el campo Uso de la clave mejorada. Todos los certificados que se utilizan para la Seguridad de nivel de transporte (TLS) deben contener un identificador de objeto de autenticación de servidor (también conocido como OID). Si intenta utilizar un certificado para TLS que no contenga un OID de autenticación de servidor en el campo Uso de la clave mejorada, debe crear un certificado nuevo.

    Para obtener más información, vea Creación de un certificado o de una solicitud de certificado para TLS (en inglés).

  • Un certificado necesario no está dentro de su periodo de validez cuando se comprueban con el reloj del sistema actual o con la marca de tiempo en el archivo firmado.   Este mensaje de estado indica que la hora del sistema no es correcta, el certificado ha expirado o el tiempo del sistema que firmó el archivo no es correcto. Compruebe que se cumplan las siguientes condiciones:

    • El reloj del equipo local es preciso.

    • El certificado no ha expirado.

    • El reloj del sistema remitente es preciso.

    Si el certificado ha expirado, debe generar uno nuevo.

    Para obtener más información, vea Creación de un certificado o de una solicitud de certificado para TLS (en inglés).

  • Los períodos de validez de la cadena de certificación no anidan correctamente.   Este mensaje de estado indica que la cadena de certificados está dañada o de algún modo no es confiable. Genere un nuevo certificado con el cmdletNew-ExchangeCertificate o póngase en contacto con la entidad de certificación para validar la cadena de certificados que se utilizó para este certificado.

  • Un certificado que sólo se puede utilizar como una entidad final se utiliza como un CA o viceversa.   Este mensaje de estado indica que el certificado no es válido porque lo emitió un certificado de entidad final y no una entidad de certificación. Un certificado de entidad final es un certificado creado para un uso cifrado de una aplicación específica. Genere un nuevo certificado con el cmdlet New-ExchangeCertificate o póngase en contacto con su entidad de certificación para validarlo.

  • El certificado o la firma se han revocado.   Póngase en contacto con la entidad de certificación para solucionar este asunto.

  • Un certificado se revocó explícitamente por su emisor.   Póngase en contacto con la entidad de certificación para solucionar este asunto.

  • La función de revocación no pudo comprobar la revocación porque el servicio de revocación estaba sin conexión.   Este mensaje de estado indica que no se pudo contactar con el servidor de revocación del certificado. En algunos casos, se trata de un error temporal debido a un problema con el servidor de revocación. En caso contrario, asegúrese de que este equipo pueda tener acceso al servidor de revocación. Si hay un firewall o servidor proxy entre este equipo y el servidor de revocación, asegúrese de que el equipo esté configurado para atravesar el obstáculo.

    Para obtener más información, vea Cómo habilitar la PKI en la función de servidor de transporte perimetral para la seguridad del dominio (en inglés).

  • El proceso de revocación no pudo continuar. El certificado no se pudo comprobar.   Este mensaje de estado indica que el proceso de revocación se interrumpió debido a un error de la red general. Si hay un firewall o servidor proxy entre este equipo y el servidor de revocación, asegúrese de que el equipo esté configurado para atravesar el obstáculo.

    Para obtener más información, vea Cómo habilitar la PKI en la función de servidor de transporte perimetral para la seguridad del dominio (en inglés).