Cómo Configurar el Servidor de Windows para enviar el Certificado Cruz-Firmado

Antecedentes

Todos Certificados SSL de DigiCert® emitidos con fechas de vencimiento después de enero 2011 se emiten desde una ruta de certificados de 2048-bits. El certificado raíz de esta ruta se titula DigiCert High-Assurance EV Root CA y ya cuenta con la confianza de todos los navegadores modernos.

Windows automáticamente determina que los certificados intermedios para que envíen a sus clientes sobre la base de certificados raíz que se encuentra en su almacén de certificados raíz de certificado de las autoridades. Cuando el "DigiCert High Assurance EV Root CA" certificado raíz está presente en el almacén de entidades emisoras de certificados raíz cert, Windows no verá la necesidad de incluir el certificado de la Cruz-Firmado.

Para confirmar que usted tiene este problema, utilice nuestra línea Probador Certificado SSL que funciona en todos los sitios de acceso público. Este medidor le indicará si su servidor está enviando los certificados intermedios correctas a los clientes.

La forma más rápida de resolver este problema es mediante el uso de nuestra DigiCert Utilidad SSL para Windows. Sin embargo, también puede realizar los pasos a continuación.

Deshabilitar el Certificado Raíz en el Servidor

Deshabilitar el certificado raíz DigiCert High-Assurance EV Root CA del almacén de certificados del servidor permite a Windows construir un camino correcto de certificados intermedios para dar a los clientes.

La corrección de este problema implica dos tareas:

  1. Comprobar el DigiCert High-Assurance EV Root CA en el almacén de certificados del servidor y desactivarlo si es necesario.
  2. Comprobar el almacén de certificados intermedios del servidor para los archivos de certificados intermedios necesarios y instalarlos si es necesario.

Nota: En algunas situaciones, desactivar el DigiCert High-Assurance EV Root CA según se describe a continuación no puede impedir que el servidor del uso del certificado de problema. En esos casos, es necesario eliminar el DigiCert High-Assurance EV Root CA. Si usted está pensando en hacer esto, debe tenerse presente que en raras ocasiones eliminar el certificado raíz puede tener un impacto negativo sobre la estabilidad del servidor.

Desactivación del DigiCert High-Assurance EV Root CA

Si el DigiCert High-Assurance EV Root CA está presente en el almacén de certificados raíz de confianza, debe ser desactivada.

Por lo general, este es el único paso que se necesita para completar. Sin embargo, es una buena idea comprobar y asegurarse de que los archivos de certificados intermedios correctos están instalados.

Para comprobar el archivo raíz de confianza:

  1. En el menú Inicio, en Ejecutar (Run) y escriba mmc.

  2. Hacer clic en Archivo (File) > Agregar/Quitar Complemento (Add/Remove Snap-in).

  3. Hacer clic en Certificados (Certificates) > Añadir (Add) y luego cerrar la ventana de Agregar Complemento Independiente. Hacer clic en OK.

  4. Seleccionar Cuenta de Equipo (Computer Account) y hacer clic en Siguiente (Next). Seleccionar Equipo Local (Local Computer) y hacer clic en Finalizar (Finish). A continuación, cerrar las ventanas de Añadir Complemento Independiente y Añadir/Eliminar Complemento.
  5. Hacer clic en + para expandir los certificados (equipo local) y buscar el directorio/carpeta personal. Expanda la carpeta de certificados.
  6. Buscar la carpeta Entidades Emisoras Raíz de Confianza (Trusted Root Certification Authorities) y expanda Certificados (Certificates).
  7. Busque el archivo emitida a y por DigiCert High-Assurance EV Root CA con una fecha de vencimiento 09/11/2031.

  8. Hacer doble clic en el archivo y vaya a la pestaña Detalles (Details).

  9. Hacer clic en Editar Propiedades (Edit Properties) y luego seleccionar Desactivar todos los propósitos para este certificado (Disable all purposes for this certificate) en el campo Certificate Purposes.

  10. Hacer clic en Aceptar. Es posible que tenga que reiniciar el servidor para que este cambio tome efecto.

Comprobación de la Almacén de Certificados Intermedios

Este paso debería haberse tomado completa cuando ha instalado el certificado(s) DigiCert. Sin embargo, es una buena idea comprobar y asegurarse de que los archivos de certificados intermedios correctos están instalados.

  1. En el Certificado de MMC Snap-in, abrir la carpeta Entidades Emisoras de Certificados Intermedios (Intermediate Certification Authorities).
  2. En la carpeta Certificados (Certificates), buscar el archivo DigiCert High-Assurance EV Root CA.

    Para los certificados SSL estándar (SSL Plus, Wildcard, UC) también encontrar el archivo DigiCert High-Assurance CA-3. Para los Certificados SSL con EV encontrar el archivo DigiCert High-Assurance EV CA-1.

  3. Si usted encuentra los archivos, no es necesario completar el resto de los pasos. Si no puede encontrar los archivos, descargarlos de nuestro sitio a través de los enlaces de abajo.

    Certificados SSL Plus/Wildcard/UC: DigiCert alta Assurance EV Root CA : DigiCert alta Assurance CA-3
    Certificados EV: DigiCert alta Assurance EV Root CA : DigiCert alta Assurance EV CA-1

  4. Una vez que se descargan, hacer doble clic en el archivo y hacer clic en Abrir (Open) > Instalar Certificado (Install Certificate).

  5. En el Asistente para la Importación de Certificados (Certificate Import Wizard), hacer clic en Siguiente (Next).

  6. Seleccionar Colocar todos los certificados en el siguiente almacén (Place all certificates in the following store) y, a continuación, hacer clic en Examinar (Browse).

  7. Seleccionsr Mostrar almacenes físicos (Show physical stores) y luego instalar los certificados en la carpeta de equipo local bajo las Autoridades de Certificación Intermedias (Intermediate Certification Authorities).

  8. Finalizar el Asistente para importación de certificados. Usted debe recibir un mensaje indicando que la importación se realizó correctamente.

    Su certificado ha sido instalado. Usted puede utilizar nuestra herramienta Probador de Certificado SSL para comprobar la instalación del certificado.