Solución de problemas de errores de validación de certificados
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2012-07-23
En este tema, se explica cómo resolver errores de validación de certificados o se refiere a la documentación que puede ayudar a resolverlos.
Para obtener más información acerca de cómo el servicio de transporte de Microsoft Exchange selecciona certificados para Seguridad de la capa de transporte (TLS), consulte los temas siguientes:
Errores de validación de certificados o mensajes de estado
El certificado es válido pero es autofirmado.
Este error es un mensaje de estado informativo. De forma predeterminada, el certificado instalado con Exchange Server 2010 es autofirmado. Normalmente se recomienda utilizar certificados de una entidad de certificación (CA) de confianza externa.
Para obtener más información, vea Uso de PKI en el servidor Transporte perimetral para la seguridad del dominio (en inglés).
El sujeto del certificado no coincide con el valor pasado.
Este mensaje de estado indica que el nombre de dominio de los campos de nombre del sujeto o de nombre alternativo del sujeto no coincide con el nombre de dominio completo (FQDN) del remitente ni con el nombre de dominio del receptor. Para corregir este error, se debe crear un nuevo certificado donde el FQDN del conector de envío o del conector de recepción coincida con el que intenta validar este certificado.
Para obtener más información, consulte Descripción de los certificados TLS.
No se puede comprobar la firma del certificado.
Este mensaje de estado indica que el servicio de transporte de Microsoft Exchange no pudo validar la cadena de certificados o que la clave pública que se usó para validar la firma del certificado no es la clave correcta.
Se ha procesado una cadena de certificados, pero terminó en un certificado raíz que no es de confianza para el proveedor de confianza.
Este mensaje de estado indica que el certificado usado para esta operación no es de confianza para el almacén de certificados del equipo. Para confiar en este certificado, la entidad de certificación raíz debe estar presente en el almacén de certificados de este equipo.
Para obtener más información acerca de cómo agregar certificados manualmente al almacén de certificados local, consulte el archivo de Ayuda del complemento Administrador de certificados en Microsoft Management Console (MMC).
El certificado no es válido para el uso solicitado.
Este mensaje de estado indica que debe habilitar el certificado para que se pueda usar en la aplicación actual. Por ejemplo, si intenta usar este certificado para la seguridad de dominio, el certificado debe habilitarse para SMTP.
Para obtener más información acerca de cómo habilitar certificados, consulte Enable-ExchangeCertificate.
De manera alternativa, este mensaje de estado puede indicar que el certificado que usa no tiene los datos correctos en el campo Uso mejorado de clave. Todos los certificados que se usan para TLS deben contener un identificador de objeto de autenticación de servidor (también conocido como OID). Si intenta usar un certificado para TLS que no contenga un OID de autenticación de servidor en el campo Uso mejorado de clave, debe crear un certificado nuevo.
Para obtener más información, vea Descripción de los certificados TLS (en inglés).
Un certificado necesario no está dentro de su período de validez cuando se comprueba con el reloj del sistema actual o con la marca de tiempo en el archivo firmado.
Este mensaje de estado indica que la hora del sistema no es correcta, el certificado ha expirado o la hora del sistema que firmó el certificado no es correcta. Compruebe que se cumplan las siguientes condiciones:
El reloj del equipo local es preciso.
El certificado no ha expirado.
El reloj del sistema remitente es preciso.
Si el certificado ha expirado, debe generar uno nuevo.
Para obtener más información, vea Descripción de los certificados TLS (en inglés).
Los períodos válidos de la cadena de certificación no se anidan de forma correcta.
Este mensaje de estado indica que la cadena de certificados está dañada o que de algún modo no es confiable. Genere un nuevo certificado con el cmdletNew-ExchangeCertificate o póngase en contacto con la entidad de certificación para validar la cadena de certificados que se utilizó para este certificado.
Un certificado que solamente se puede usar como una entidad final se utiliza como CA o viceversa.
Este mensaje de estado indica que el certificado no es válido porque lo emitió un certificado de entidad final y no una autoridad de certificación. Un certificado de entidad final es un certificado creado para un uso cifrado de una aplicación específica. Genere un nuevo certificado con el cmdlet New-ExchangeCertificate o póngase en contacto con su entidad de certificación para validarlo.
Se ha revocado el certificado o su firma.
Póngase en contacto con la entidad de certificación para solucionar este problema.
Un certificado se revocó explícitamente por su emisor.
Póngase en contacto con la entidad de certificación para solucionar este problema.
La función de revocación no pudo comprobar la revocación porque el servicio de revocación estaba sin conexión.
Este mensaje de estado indica que no se pudo establecer contacto con el servidor de revocación del certificado. En algunos casos, se trata de un error temporal debido a un problema con el servidor de revocación. En caso contrario, asegúrese de que este equipo pueda tener acceso al servidor de revocación. Si hay un firewall o servidor proxy entre este equipo y el servidor de revocación, asegúrese de que el equipo esté configurado para atravesar el obstáculo.
Para obtener más información, vea Uso de PKI en el servidor Transporte perimetral para la seguridad del dominio (en inglés).
El proceso de revocación no puede continuar: no se han podido comprobar los certificados.
Este mensaje de estado indica que el proceso de revocación se interrumpió debido a un error de la red general. Si hay un firewall o servidor proxy entre este equipo y el servidor de revocación, asegúrese de que el equipo esté configurado para atravesar el obstáculo.
Para obtener más información, vea Uso de PKI en el servidor Transporte perimetral para la seguridad del dominio (en inglés).
© 2010 Microsoft Corporation. Reservados todos los derechos.