Error al importar un archivo .pfx SSL en el almacén de certificados personales del equipo local mediante el Administrador de IIS

  • Artículo
  • Tiempo de lectura: 2 minutos

Este artículo le ayuda a resolver un error que se produce al intentar importar un archivo de certificado de clave privada (.pfx) de capa de sockets seguros (SSL) en el almacén de certificados personales del equipo local mediante el Administrador de Microsoft Internet Information Services (IIS).

Versión del producto original:   Internet Information Services
Número KB original:   919074

Importante

Este artículo contiene información sobre cómo modificar el Registro. Antes de modificar el Registro, asegúrese de hacer una copia de seguridad del mismo y Asegúrese de saber cómo recuperar el registro en caso de producirse algún problema. Para obtener más información acerca de cómo hacer una copia de seguridad, restaurar y modificar el Registro, vea Windows información del Registro para usuarios avanzados.

Síntomas

Intenta importar un archivo .pfx SSL en el almacén de certificados personal del equipo local. En esta situación, puede experimentar uno de los síntomas siguientes, según cómo intente importar el archivo .pfx:

  • Si intenta importar el archivo .pfx mediante el Administrador de IIS, recibirá el siguiente mensaje de error:

    No se puede importar el archivo pfx. Ha escrito una contraseña incorrecta para este archivo o el certificado ha expirado.

  • Si intenta importar el archivo .pfx mediante el complemento Certificados de Microsoft Management Console (MMC), recibirá el siguiente mensaje de error:

    Se ha producido un error interno. Puede ser que el perfil de usuario no sea accesible o la clave privada que está importando puede requerir un proveedor de servicios criptográficos que no esté instalado en el sistema.

Causa

Este comportamiento se produce cuando se cumple una o varias de las siguientes condiciones:

  • No tiene permisos suficientes para tener acceso a DriveLetter:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys la carpeta en el equipo.
  • Existe una subclave del Registro de terceros que impide que IIS acceda al proveedor de servicios criptográficos.
  • Ha iniciado sesión en el equipo de forma remota a través de una sesión de Terminal Services. Y el perfil de usuario no se almacena localmente en el servidor que tiene Terminal Services habilitado.

Para resolver este comportamiento, use una de las siguientes resoluciones, según corresponda para su situación.

Resolución 1: Establecer los permisos correctos para la carpeta MachineKeys

Si no tiene permisos suficientes para tener acceso a la carpeta en el equipo, establezca los permisos DriveLetter:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys correctos para la carpeta.

Para obtener más información acerca de cómo establecer los permisos para la carpeta MachineKeys, vea Default permissions for the MachineKeys folders.

Resolución 2: Eliminar la subclave del Registro de terceros

Advertencia

Pueden producirse problemas graves si modifica el Registro incorrectamente utilizando el Editor del Registro u otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar la solución de estos problemas. Modifique el Registro bajo su propia responsabilidad.

Si existe la siguiente subclave del Registro, elimínelo:
HKEY_USERS\Default\Software\Microsoft\Cryptography\Providers\Type 001

Después de eliminar esta subclave del Registro, IIS puede tener acceso al proveedor de servicios criptográficos.

Resolución 3: Almacenar el perfil de usuario para la sesión de Terminal Services localmente

Si el perfil de usuario de la sesión de Terminal Services no se almacena localmente en el servidor que tiene Terminal Services habilitado, mueva el perfil de usuario al servidor que tiene Terminal Services habilitado. Como alternativa, use perfiles móviles.

Estado

Este comportamiento es una característica del diseño de la aplicación.