Se produce un error en la validación de certificados cuando un certificado tiene varias rutas de certificación de confianza hacia CA raíz

  • Artículo

En este artículo se proporcionan soluciones alternativas para un problema en el que el certificado de seguridad presentado por un sitio web no se emite cuando tiene varias rutas de certificación de confianza hacia CA raíz.

Se aplica a: Windows Server 7 Service Pack 1, Windows Server 2012 R2
Número KB original: 2831004

Síntomas

Cuando un usuario intenta acceder a un sitio web seguro, recibe el siguiente mensaje de advertencia en el explorador web:

Hay un problema con el certificado de seguridad de este sitio web.

El certificado de seguridad presentado por este sitio web no fue emitido por una autoridad certificadora de confianza.

Después de que el usuario haga clic en Ir a este sitio web (no recomendado), el usuario puede acceder al sitio web protegido.

Causa

Este problema se produce porque el certificado del sitio web tiene varias rutas de certificación de confianza en el servidor web.

Por ejemplo, suponga que el equipo cliente que usa confía en el certificado (2) Entidad de certificación raíz (CA). Y el servidor web confía en el Certificado de CA raíz (1) y en el Certificado de CA raíz (2). Además, el certificado tiene las dos rutas de certificación siguientes a las CA raíz de confianza en el servidor web:

  1. Ruta de certificación 1: Certificado de sitio web, Certificado de CA intermedio, Certificado de CA raíz (1)
  2. Ruta de certificación 2: Certificado de sitio web, Certificado de CA intermedio, Certificado de CA de raíz cruzada, Certificado de CA raíz (2)

Cuando el equipo encuentra varias rutas de certificación de confianza durante el proceso de validación de certificados, Microsoft CryptoAPI selecciona la mejor ruta de certificación calculando la puntuación de cada cadena. Una puntuación se calcula en función de la calidad y la cantidad de la información que puede proporcionar una ruta de certificado. Si las puntuaciones de las varias rutas de certificación son las mismas, se selecciona la cadena más corta.

Cuando la ruta de certificación 1 y la ruta de certificación 2 tienen la misma puntuación de calidad, CryptoAPI selecciona la ruta de acceso más corta (ruta de certificación 1) y envía la ruta al cliente. Sin embargo, el equipo cliente solo puede comprobar el certificado mediante la ruta de certificación más larga que lleva al certificado de CA raíz (2). Por lo tanto, se produce un error en la validación del certificado.

Solución alternativa

Para solucionar este problema, elimine o deshabilite el certificado de la ruta de certificación que no desea usar siguiendo estos pasos:

  1. Inicie sesión en el servidor web como un administrador de sistema.

  2. Agregue el complemento Certificado a Microsoft Management Console siguiendo estos pasos:

    1. Haga clic en Inicio>Ejecutar, escriba mmc,y después presione Entrar.
    2. En el menú Archivo, haga clic en Añadir o quitar complemento.
    3. Seleccione Certificados, haga clic en Añadir, seleccione Cuenta de equipo y, a continuación, haga clic en Siguiente.
    4. Seleccione Equipo local (equipo en el que se ejecuta la consola) y haga clic en Finalizar.
    5. Haga clic en Aceptar.

  3. Expanda Certificados (equipo local) en la consola de administración y, a continuación, localice el certificado en la ruta del certificado que no desea usar.

    Nota:

    Si el certificado es un certificado de CA raíz, se encuentra en Entidades de certificación raíz de confianza. Si el certificado es un certificado de CA intermedio, se incluye en Entidades de certificación intermedias.

  4. Elimine o deshabilite el certificado mediante uno de los métodos siguientes:

    • Para eliminar un certificado, haga clic con el botón derecho en el nombre del certificado y, a continuación, haga clic en Eliminar.
    • Para deshabilitar un certificado, haga clic con el botón derecho en el certificado, haga clic en Propiedades, seleccione Deshabilitar todos los propósitos para este certificado y después haga clic en Aceptar.

  5. Reinicie el servidor si el problema sigue ocurriendo.

Además, si la configuración de la directiva de grupo Desactivar la actualización automática de certificados raíz está deshabilitada o no está configurada en el servidor, el certificado de la ruta de certificación que no desea usar puede habilitarse o instalarse cuando se produzca la siguiente creación de la cadena. Para cambiar la directiva de grupo, siga estos pasos:

  1. HAga clic en Inicio>Ejecutar, escriba gpedit.msc, y después seleccione Entrar.

  2. Expanda Configuración del equipo>Plantillas administrativas>Sistema>Administración de comunicaciones de Internet, y después haga clic en Configuración de comunicaciones de Internet.

  3. Haga doble clic en Desactivar la actualización automática de certificados raíz, seleccione Habilitado y, a continuación, haga clic en Aceptar.

  4. Cierre el Editor de directivas de grupo local.

Estado

Este comportamiento es una característica del diseño de la aplicación.