Un solo certificado caducado puede romper silenciosamente la autenticación de miles de usuarios. Sin embargo, en la mayoría de los entornos de Active Directory, gestión del ciclo de vida del certificado Todavía se gestiona manualmente, un dispositivo a la vez. La inscripción automática mediante directivas de grupo cambia eso.

Cuando un equipo unido a un dominio actualiza una directiva de grupo, el motor de inscripción automática se ejecuta en segundo plano y comprueba si el equipo o el usuario cumplen los requisitos para alguna plantilla de certificado publicada. Si se encuentra una plantilla válida y la cuenta tiene los permisos adecuados, se envía automáticamente una solicitud de certificado a la CA. El mismo mecanismo gestiona las renovaciones cuando los certificados se acercan a su vencimiento y elimina los certificados revocados del almacén local. Como resultado, todo el ciclo de vida del certificado (emisión, renovación y revocación) se gestiona automáticamente en todos los dispositivos unidos al dominio, impulsado exclusivamente por la directiva.

Esta guía describe la configuración completa: desde la configuración de la plantilla en la CA hasta la implementación de GPO, la verificación y un proceso sistemático de resolución de problemas para cuando algo salga mal.

Requisitos previos

Antes de comenzar, asegúrese de que se cumplen los siguientes requisitos previos:

Los Servicios de certificados de Active Directory (AD CS) están instalados y configurados con al menos una Autoridad de certificación (CA) empresarial.
La plantilla de certificado del servidor está configurada para la inscripción automática. Para obtener más información, consulte: Configure una plantilla de certificado de servidor para la inscripción automática..
Tienes una cuenta de usuario que es miembro de ambos:
- Administradores de empresa
- Grupos de seguridad de administradores de dominio del dominio raíz
Acceso a las siguientes consolas de administración:
- Administración de Políticas de Grupo
- Servidor de políticas de red

Configuración de la plantilla de certificado

La directiva de grupo (GPO) indica a los clientes que busquen plantillas para la inscripción automática. Sin embargo, si no hay ninguna plantilla configurada con los ajustes correctos y publicada en la CA, el cliente no podrá solicitar ninguna. La configuración de la plantilla debe realizarse antes que la de la directiva de grupo. La siguiente sección le guiará paso a paso para crear una plantilla de certificado para la inscripción automática.

Paso 1: Abra la consola de plantillas de certificados.

En la CA emisora, ejecute: certsrv.msc
Expanda el nodo CA, haga clic con el botón derecho en Plantillas de certificado y seleccione Administrar.
Se abre la consola de plantillas de certificados (certtmpl.msc), que muestra todas las plantillas disponibles.

Plantilla de certificado paso 1 — *La figura representa la consola de plantillas de certificados.*

Paso 2: Duplicar una plantilla existente

Nunca modifique directamente las plantillas integradas. Duplique siempre la plantilla base correspondiente:

Autenticación de estación de trabajo: para certificados de equipo (autenticación de cliente)
Usuario: para certificados de usuario (autenticación de cliente + EFS + correo electrónico)
Servidor web: para certificados de IIS/servidor web

Haga clic con el botón derecho en la plantilla base y seleccione Duplicar plantilla. Seleccione Compatibilidad con Windows Server 2016 o posterior. Elija la versión mínima del sistema operativo de la Autoridad de certificación (CA) de AD CS que desea admitir. Consulte la documentación actual de Microsoft. Documentación de ADCS para confirmar la última versión compatible, ya que esta cambia con las versiones de Windows Server.

También puede seleccionar el sistema operativo mínimo del destinatario para la plantilla de certificado, siendo la versión más reciente Windows 10/Windows Server 2016. A continuación, asigne un nombre a la plantilla de certificado y configure sus ajustes.

Paso 2: plantilla duplicada — *La figura representa la duplicación de la plantilla de autenticación de estación de trabajo.*

Paso 3: Configurar la pestaña General

Nombre para mostrar de la plantilla: asígnele un nombre descriptivo (por ejemplo, 'EC-Computer-Auth-v1').
Periodo de validez: por ejemplo, 2 años (1 año para entornos de alta seguridad)

Pestaña general del paso 3 — *La figura muestra cómo se nombra la nueva plantilla en la pestaña General.*

Paso 4: Configurar la pestaña Nombre del sujeto

Establezca el nombre del sujeto en "Generar a partir de esta información de Active Directory". Esto permite que la CA complete automáticamente el nombre del sujeto a partir del objeto de AD de la máquina o del usuario, lo cual suele ser necesario para las implementaciones estándar de inscripción automática en empresas. Formato del nombre del sujeto: establezca "Nombre común" en la mayoría de las plantillas.

Incluya esta información en el nombre alternativo del sujeto:

Para certificados de equipo → compruebe el nombre DNS (rellena el FQDN de la máquina a partir del atributo dNSHostName de AD).
Para certificados de usuario → marque Nombre principal de usuario (UPN) y, opcionalmente, Correo electrónico (para certificados destinados a S/MIME o protección de correo electrónico).

Paso 5: Configurar usos de claves extendidas (EKU)

En la pestaña Extensiones, asegúrese de que las Políticas de aplicación (EKU) coincidan con el uso previsto del certificado:

Uso del certificado	EKU requerido
Autenticación informática	Autenticación de cliente (1.3.6.1.5.5.7.3.2)
SSL del servidor web	Autenticación del servidor (1.3.6.1.5.5.7.3.1)
Correo electrónico S/MIME	Correo electrónico seguro (1.3.6.1.5.5.7.3.4)
EFS	Sistema de cifrado de archivos (1.3.6.1.4.1.311.10.3.4)
Inicio de sesión con tarjeta inteligente	Inicio de sesión con tarjeta inteligente (1.3.6.1.4.1.311.20.2.2)
IPsec	Seguridad IP IKE intermedia (1.3.6.1.5.5.8.2.2)

Nota: La pestaña Extensiones también muestra las Políticas de emisión, que son OID de políticas de certificados (RFC 5280 Sección 4.2.1.4) que se utilizan para controles de nivel de garantía, y que no deben confundirse con las Políticas de aplicación (EKU) configuradas anteriormente.

Paso 6: Configurar la pestaña Seguridad/Permisos

Este es el paso que con mayor frecuencia se configura incorrectamente y la causa más común de fallos en la inscripción automática. Cada entidad principal (usuario o grupo de equipos) que deba inscribirse automáticamente necesita los TRES permisos:

Permiso	Propósito	Obligatorio
Leer	La cuenta puede ver que la plantilla existe.	Sí (mínimo)
Inscríbase	La cuenta puede solicitar un certificado manualmente.	Sí:
Inscripción automática	La cuenta puede recibir automáticamente un certificado a través de GPO.	Sí:

Para configurar los permisos: Abra certtmpl.msc → Haga clic con el botón derecho en la plantilla → Propiedades → pestaña Seguridad → seleccione el grupo correspondiente → en Permitir, marque Leer, Inscribir e Inscripción automática.

Paso 7: Publicar la plantilla en la CA

Configurar la plantilla no es suficiente; también debe publicarse (ponerse a disposición) en la CA emisora:

Abra certsrv.msc en la CA emisora.
Expanda la CA, haga clic con el botón derecho en Plantillas de certificado y seleccione Nuevo → Plantilla de certificado para emitir.
En el cuadro de diálogo, seleccione la plantilla que acaba de crear y haga clic en Aceptar.

plantilla de publicación — *La figura representa la publicación de la nueva plantilla en el* CALIFORNIA.

Una vez creada, publicada y con los permisos necesarios, la configuración de la CA está completa. El siguiente paso se centra en el dominio: crear la GPO que indique a todos los equipos unidos al dominio que busquen dicha plantilla y soliciten un certificado automáticamente.

Cómo configurar la directiva de grupo y habilitar la inscripción automática.

Paso 1: Cree un objeto de directiva de grupo (GPO) en el controlador de dominio.

Administración de directivas de grupo abiertas
En el árbol de la consola, haga clic con el botón derecho en los GPO de su dominio (por ejemplo, EncryptionConsulting.com).
Seleccione Nuevo para crear un nuevo GPO.
Nombra el GPO (por ejemplo, Inscripción automática).
Haga clic derecho en el GPO recién creado y seleccione Editar.

Paso 2: Configurar la inscripción automática de certificados

En el Editor de administración de políticas de grupo, navegue a:

Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas de clave pública.
Haga clic con el botón derecho en Cliente de servicios de certificación – Inscripción automática y seleccione Propiedades.
En la ventana Configuración de política de inscripción automática, configure lo siguiente:
- Modelo de configuración: Los usuarios de la app Smart Spaces con Google Wallet disfrutan de acceso móvil sin contacto con cualquier lector HID® Signo™ con NFC.
- Marque las casillas para:
  
  1. renovar certificados caducados, actualizar certificados pendientes y eliminar certificados revocados.
  
  2. Actualice los certificados que utilizan plantillas de certificado.
- Establezca un porcentaje para las notificaciones de vencimiento del certificado si es necesario (por ejemplo, 10%).

Al abrir el cuadro de diálogo Propiedades de inscripción automática del Cliente de servicios de certificados, verá las cuatro configuraciones. A continuación, se describe la función de cada una:

Configuración	Valor recomendado	Qué sucede si no se controla
Modelo de configuración	Los usuarios de la app Smart Spaces con Google Wallet disfrutan de acceso móvil sin contacto con cualquier lector HID® Signo™ con NFC.	La inscripción automática está completamente desactivada; no se implementarán certificados.
Renovar certificados caducados, actualizar certificados pendientes y eliminar certificados revocados.	comprobado	Los certificados próximos a caducar no se renovarán automáticamente y los certificados ya caducados no se reemplazarán; las solicitudes pendientes se abandonan y los certificados revocados permanecen en el almacén.
Actualizar los certificados que utilizan plantillas de certificados.	comprobado	Si actualiza una plantilla (nueva longitud de clave, nuevo EKU), es posible que los certificados existentes NO se vuelvan a registrar para obtener la nueva versión, lo que provocará que los certificados queden obsoletos.
Notificación de vencimiento (% restante)	10% (predeterminado)	Los usuarios/administradores no reciben ninguna advertencia previa sobre la caducidad de los certificados; esto solo es relevante cuando se requiere una acción manual.

Nota: La configuración del modelo controla el estado de la política de inscripción automática:

Discapacitado: La inscripción automática está completamente desactivada y los certificados no se inscribirán ni renovarán automáticamente mediante el procesamiento de directivas de grupo. Sin embargo, aún se pueden solicitar certificados manualmente mediante otros métodos de inscripción.
habilitado: La inscripción automática se activa automáticamente en función de temporizadores internos (ciclo de actualización de la directiva de grupo y la tarea programada CertificateServicesClient).
No definido: El estado de inscripción automática se determina mediante la información del registro local en la siguiente ruta:

Clave: SOFTWARE\Policies\Microsoft\Cryptography\AutoEnrollment | Valor: AEPolicy | Tipo: DWORD

Nota: Si su organización utiliza certificados tanto de máquina como de usuario (como la mayoría de las empresas), debe habilitar la inscripción automática tanto en Configuración del equipo como en Configuración del usuario. Si habilita solo una de ellas, el otro tipo de certificado nunca se inscribirá automáticamente.

Haga clic en Aceptar para guardar los cambios.

Ambas rutas deben configurarse en función de los certificados que se estén implementando. Son configuraciones independientes:

Ruta de GPO	Tipos de certificados	Casos de uso de ejemplo
Configuración del equipo → Directivas → Configuración de Windows → Configuración de seguridad → Directivas de clave pública → Cliente de servicios de certificados: inscripción automática	Certificados de máquina/ordenador	Autenticación de equipos, servidor web SSL, túneles IPsec, certificados de cliente SCCM
Configuración de usuario → Directivas → Configuración de Windows → Configuración de seguridad → Directivas de clave pública → Cliente de servicios de certificados: inscripción automática	Certificados de usuario	Cifrado de correo electrónico S/MIME, inicio de sesión con tarjeta inteligente, EFS, certificados VPN de usuario

Paso 3: Vincule la GPO a su dominio.

Regrese a Administración de políticas de grupo.
Haga clic derecho en su dominio (por ejemplo, EncryptionConsulting.com).
Seleccione Vincular un GPO existente.
En la ventana Seleccionar GPO, elija el GPO de inscripción automática que acaba de crear.
Haga clic en Aceptar.

Paso 4: Asegúrese de que se aplique la directiva de grupo.

En la mayoría de los entornos, vincular la GPO en la raíz del dominio es suficiente: todas las unidades organizativas (OU) heredan la directiva automáticamente. Habilite la opción "Aplicar" únicamente si ciertas unidades organizativas secundarias de su dominio tienen configurada la opción "Bloquear herencia" y necesita la inscripción automática para acceder a dichas unidades organizativas. La siguiente figura muestra cómo otorgar permisos de lectura, inscripción e inscripción automática a los equipos del dominio en la pestaña Seguridad.
Si su entorno tiene unidades organizativas con herencia de bloques y necesita anularlas, haga lo siguiente:
1. En la Administración de directivas de grupo, en el nivel de dominio (por ejemplo, EncryptionConsulting.com), haga clic con el botón derecho en la GPO de inscripción automática.
2. Seleccione Aplicar para garantizar que la política se aplique en todo el dominio.

Advertencia: Las GPO aplicadas anulan la herencia de bloqueo en TODAS las unidades organizativas secundarias y pueden tener efectos no deseados en entornos con estructuras de políticas complejas a nivel de unidad organizativa.

Paso 5: Verificar la configuración de inscripción automática.

Una vez configurada la GPO, la inscripción automática no se produce instantáneamente. Comprender el ciclo de activación ayuda a los administradores a saber cuándo esperar los certificados y cómo forzar la inscripción inmediata para realizar pruebas.:

Ciclo de actualización de la directiva de grupo: La directiva de grupo (GPO) se aplica automáticamente cada 90 minutos (por defecto) en las estaciones de trabajo, con un intervalo aleatorio de 0 a 30 minutos para evitar saturación de la red. Los equipos también aplican la GPO al arrancar y los usuarios al iniciar sesión.
Tarea programada de inscripción automática: Una vez aplicada la GPO, Windows crea una tarea programada (visible en el Programador de tareas, en Microsoft → Windows → CertificateServicesClient) que gestiona las solicitudes de certificados.
Ventana de renovación: Los certificados se renuevan automáticamente cuando ha transcurrido el 80 % de su periodo de validez y el certificado se encuentra dentro del periodo de renovación establecido en la plantilla. Por ejemplo, un certificado válido por un año alcanza el 80 % aproximadamente a las 41.5 semanas. Si el certificado tiene un periodo de renovación de seis semanas, se renovará durante la semana 46.

El período de renovación de la plantilla debe ser superior a 8 horas (el intervalo mínimo de activación del motor de inscripción automática). Además, el período de renovación debe ser inferior al 20 % del período de validez del certificado. Si no se cumple alguna de estas condiciones, la inscripción automática omite la renovación por completo e intenta una nueva inscripción, lo que puede requerir nuevamente la aprobación del administrador de la CA.

Nota: Los controladores de dominio actualizan la directiva de grupo cada 5 minutos de forma predeterminada. Si se prueba la inscripción automática en un equipo de clase controlador de dominio, los cambios en la directiva de grupo se propagan mucho más rápido que en las estaciones de trabajo.

Ahora, para verificar las configuraciones de inscripción automática, siga los siguientes pasos:

En el equipo cliente con Windows 11, abra el Programador de tareas.
Compruebe en la carpeta CertificateServicesClient: Programador de tareas → Microsoft → Windows → CertificateServicesClient las tareas creadas por el cliente de inscripción, asegurándose de que la tarea de inscripción automática esté lista y programada.

Paso 6: Forzar la actualización de la directiva de grupo.

Abra el símbolo del sistema como administrador.
Ejecute el siguiente comando para actualizar las políticas de grupo: gpupdate o gpupdate /force
Asegúrese de que la actualización se complete correctamente.

Paso 7: Verificar la aplicación de la directiva de grupo.

En el símbolo del sistema, ejecute el siguiente comando para comprobar las políticas aplicadas: gpresult / r
Confirme que la política de inscripción automática se aplica a las computadoras y usuarios necesarios.

En este punto, la inscripción automática debería funcionar. Si los certificados aparecen en los almacenes esperados en los equipos unidos al dominio, no es necesario realizar ninguna otra acción. Si no aparecen, o si desea comprender por qué la inscripción no muestra ningún mensaje cuando algo falla, la siguiente sección describe cada etapa del proceso de fallo en orden.

Solución de problemas de inscripción automática

La inscripción automática es una de esas funciones que funciona sin problemas cuando está configurada correctamente y falla de la misma manera cuando algo no funciona bien. A diferencia de un servidor web averiado que muestra un error visible, una configuración de inscripción automática incorrecta simplemente no hace nada. No aparece ningún certificado, no se activa ninguna alerta evidente y el administrador se pregunta si el problema reside en la GPO, la plantilla, la red o la propia CA. Esta sección describe cada capa en secuencia, incluyendo la entrega de la GPO, la configuración de la plantilla y la conectividad de red, para que pueda identificar rápidamente el punto de fallo.

Paso 1: Verificar que la GPO esté llegando al cliente.

Ejecute este comando en la máquina afectada para confirmar que la GPO de inscripción automática se encuentra en la lista aplicada:

gpresult / r

rsop.msc

Luego, verifique el registro. AEPolicy debe ser 7 (0x7):

reg query "HKLM\SOFTWARE\Policies\Microsoft\Cryptography\AutoEnrollment" /v AEPolicy

reg query "HKCU\SOFTWARE\Policies\Microsoft\Cryptography\AutoEnrollment" /v AEPolicy

Valor de la política de AEP	Estado de configuración	Efecto
0x00000000 (o clave ausente)	Motor de inscripción automática habilitado, pero no se han configurado acciones de inscripción. Actualizar certificados usando plantillas: DESACTIVADO Renovar caducado / actualización pendiente / eliminar revocado: DESACTIVADO	Solicitudes pendientes no recopiladas Certificados revocados no eliminados
0x00000001	Motor de inscripción automática: Activo Actualizar certificados usando plantillas: ACTIVADO Renovar caducado / actualización pendiente / eliminar revocado: DESACTIVADO	Nuevas solicitudes de certificado emitidas automáticamente Certificados caducados no renovados Solicitudes pendientes no recopiladas Certificados revocados no eliminados
0x00000006	Motor de inscripción automática: Activo Actualizar certificados usando plantillas: DESACTIVADO Renovar caducado / actualización pendiente / eliminar revocado: ACTIVADO	Las nuevas solicitudes de certificado no se emiten automáticamente. Certificados caducados renovados Solicitudes pendientes recopiladas Certificados revocados eliminados
0x00000007	Motor de inscripción automática: Activo Actualizar certificados usando plantillas: ACTIVADO Renovar caducado / actualización pendiente / eliminar revocado: ACTIVADO	Nuevas solicitudes de certificado emitidas automáticamente Certificados caducados renovados Solicitudes pendientes recopiladas Certificados revocados eliminados — Recomendado para todos los entornos.
0x00008000	Inscripción automática: Desactivada por completo	No se permiten solicitudes automáticas. Sin renovación No hay cobro pendiente Limpieza sin revocación

Aunque la opción de inscripción automática se muestre como "Habilitada" en la Consola de administración de directivas de grupo (GPMC) o en rsop.msc, es No presente en los clientes del dominio. No encontrará la clave de registro en la sección del registro correspondiente al equipo o al usuario:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Autoenrollment | Nombre del valor: AEPolicy | Tipo: REG_DWORD | Datos del valor: 0

HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Cryptography\Autoenrollment | Nombre del valor: AEPolicy | Tipo de valor: REG_DWORD | Datos del valor: 0

Esto sucede porque el Informe de configuración de GPMC y la interfaz de usuario de gpedit.msc muestran la inscripción automática como "Habilitada" en la Directiva de dominio predeterminada, incluso cuando el archivo registry.pol no lo hace. No contiene el valor AEPolicy. Esto ocurre cuando se abre la configuración en gpedit.msc pero Cancelar se hace clic en lugar de OK — La configuración aparece guardada, pero nunca se escribió. Solución: abra la configuración de inscripción automática en gpedit.msc, configúrela y haga clic. OK (no Cancelar) para forzar que el valor de AEPolicy se escriba en registry.pol. Por lo tanto, la comprobación del registro RSOP anterior es Siempre más fiable que confiar en la pantalla del GPMC.

En dominios con controladores de dominio o directivas de grupo heredadas de la era de Server 2003, la consola de administración de directivas de grupo (GPMC) puede mostrar la inscripción automática como "Habilitada" incluso cuando el valor de AEPolicy nunca se haya escrito en registry.pol (KB2018984). En Server 2008 y versiones posteriores, la GPMC refleja con precisión el estado real. Si se encuentra en un entorno heredado, siempre verifique el estado mediante la comprobación del registro mencionada anteriormente en lugar de confiar en la información que muestra la GPMC.

Solución alternativa: si la Directiva de dominio predeterminada es demasiado amplia para editarla de forma segura, cree una NUEVA GPO que contenga solo la configuración de inscripción automática y vincúlela al dominio o a la OU de destino con una prioridad mayor (número de orden de vínculo menor) que la Directiva de dominio predeterminada.

Paso 2: Verificar la configuración de la plantilla y de la CA.

Compruebe que la plantilla esté publicada en la CA emisora:
certutil -catemulates

Si no está presente: certsrv.msc → clic derecho Plantillas de certificado → Nuevo → Plantilla de certificado para emitir.

Si se prevé que los certificados se publiquen en objetos de Active Directory, verifique que la cuenta de equipo de la CA emisora sea miembro del grupo Publicadores de certificados mediante:

dsget grupo “CN=Cert Publishers,CN=Users,DC=domain,DC=com” -members

En certtmpl.msc, compruebe la pestaña Seguridad en la plantilla. El grupo solicitante necesita los tres:

Permiso	¿Necesario?	¿Lo que más se ha echado de menos?
Leer	Sí:	No
Inscríbase	Sí:	No
Inscripción automática	Sí:	Sí:

Si los permisos parecen correctos pero los certificados aún no aparecen, borre la caché obsoleta del directorio de inscripción automática en el cliente:

Eliminar: HKLM\SOFTWARE\Microsoft\Cryptography\AutoEnrollment\AEDirectoryCache

Luego, ejecute el siguiente comando:

gpupdate /force && certutil -pulse

Paso 3: Pruebe la inscripción manual para dividir la configuración frente a la red.

Antes de adentrarse en RPC/DCOM, realice una solicitud de certificado manual. Esta simple prueba reduce a la mitad el tiempo de resolución de problemas:

Abra certlm.msc (máquina) o certmgr.msc (usuario) en el cliente afectado.
Haz clic con el botón derecho en Personal → Todas las tareas → Solicitar nuevo certificado.
Seleccione la misma plantilla con la que está inscribiendo automáticamente.

Resultado de la inscripción manual	Conclusión	Próximo Paso
Tiene éxito	La CA es accesible, la plantilla está bien. El problema está en la GPO, el registro o el permiso de inscripción automática.	Vuelva a comprobar los pasos 1 y 2.
También falla	CA no es accesible desde este cliente.	Proceda al paso 4: capa RPC/DCOM

Paso 4: Capa RPC/DCOM (si la inscripción manual también falla)

La inscripción automática se comunica a través de RPC/DCOM (MS-WCCE).

Prueba 1: Validar el canal RPC/DCOM a través de la interfaz COM.

$CS = "CASERVERNAME\CACommonName"

$R = New-Object -ComObject CertificateAuthority.Request

$R.GetCAProperty($CS, 0x6, 0, 4, 0)

Prueba 2: Comprobación de accesibilidad más sencilla mediante certutil

certutil -ping -config "CASERVERNAME\CACommonName"

Para solucionar problemas con certificados de máquina, ejecute en el contexto SYSTEM (el contexto que utiliza la inscripción automática):

psexec -s powershell.exe # luego ejecuta lo anterior

Nota: :

psexec es una herramienta de Sysinternals (descárgala en learn.microsoft.com/sysinternals).
Algunas soluciones EDR/AV identifican a psexec como una herramienta de doble uso. Añádala a la lista blanca de sus herramientas de seguridad antes de usarla en un entorno de producción.

Habilite las reglas de firewall necesarias en la CA.

Enable-NetFirewallRule -Name Microsoft-Windows-CertificateServices-CertSvc-DCOM-In

Enable-NetFirewallRule -Name Microsoft-Windows-CertificateServices-CertSvc-RPC-EPMAP-In

Enable-NetFirewallRule -Name Microsoft-Windows-CertificateServices-CertSvc-RPC-TCP-In

Verifique también que el grupo CERTSVC_DCOM_ACCESS en la CA aún contenga Usuarios autenticados. Para comprobarlo, vaya a: dcomcnfg → Mi PC → Propiedades → Seguridad COM → Editar límites → Permisos de acceso.

Habilite el registro detallado de inscripción automática en el cliente para obtener más información:

Para sistemas modernos, ejecute lo siguiente:

certutil -setreg Enroll\LogLevel 4

Para sistemas heredados, utilice la siguiente ruta: HKLM\SOFTWARE\Microsoft\Cryptography\AutoEnrollment\AEEventLogLevel = 0 (DWORD)

Nota: :

0 = detallado (contraintuitivo: un valor menor significa más registros)
1 = solo errores y advertencias
2 = solo errores (predeterminado)

Entonces corre:

certutil -pulso

Paso 5: Lea los registros del Visor de eventos.

Navegue a Registros de aplicaciones y servicios → Microsoft → Windows

Registro 1: Registros de aplicaciones y servicios → Microsoft → Windows → CertificateServicesClient-AutoEnrollment → Operacional

Eventos aquí: 6 (Error), 64 (Advertencia)

Registro 2: Registros de aplicaciones y servicios → Microsoft → Windows → CertificateServicesClient-CertEnroll → Operacional

Eventos aquí: 9 (denegados), 13 (fallidos), 52 (CA no confiable), 65 (autenticación del servidor de políticas), 82 (fallo de autenticación CEP)

PowerShell para consultar ambos a la vez:

Get-WinEvent -FilterHashtable @{

Nombre de registro='Aplicación'

Nombre del proveedor=@(

'Microsoft-Windows-CertificateServicesClient-AutoEnrollment',

'Microsoft-Windows-CertificateServicesClient-CertEnroll'

HoraInicio=(Obtener-Fecha -Hora 0 -Minuto 0 -Segundo 0)

} | Ordenar-Objeto HoraCreada -Descendente

Identificador de sucesos	Significado	Causa principal
6	Error (Origen de la inscripción automática): Falló todo el proceso de inscripción automática.	El código de error en el mensaje indica la causa raíz: 0x8007054b – dominio inaccesible 0x800706ba – Servidor RPC no disponible 0x800b0101 – certificado fuera de período de validez 0x80070576 – desfase horario entre cliente y servidor \| Compruebe el código de error. 0x80070576 – comprobar la sincronización NTP. 0x8007054b: compruebe la conectividad del dominio (DNS, accesibilidad del controlador de dominio).
9	Error (origen CertEnroll): La CA ha DENEGADO explícitamente la solicitud.	Verifique los permisos de lectura, inscripción e inscripción automática en la plantilla.
13	Error (origen CertEnroll): La solicitud de inscripción falló. La causa principal se encuentra en el código de error incrustado.	Primero, compruebe el código de error incrustado: 0x800706BA – RPC no disponible: compruebe el firewall/DCOM (Paso 4) 0x80094012 – Error de permisos de plantilla: compruebe Read+Enroll+Autoenroll 0x80070005 – Acceso denegado: compruebe el permiso "Solicitar certificados" a nivel de CA. 0x80094800 – Plantilla no compatible con esta CA: certutil -catemulates 0x800B0112 – Certificado CA no confiable: certutil -viewstore -enterprise NTAuth
52	El cliente no confía en el certificado de CA.	Asegúrese de que la cadena de certificados CA se encuentre en los almacenes de certificados raíz/intermedios de confianza del cliente; certutil -dspublish -f IssuingCA.cer NTAuthCA
64	Advertencia de CertificateServicesClient-AutoEnrollment, que significa que un certificado está a punto de caducar o ya ha caducado.	Verifique el plazo de renovación, los permisos de la plantilla y la disponibilidad de la CA.
82	Error (CertEnroll): No se pudo autenticar en TODAS las URL del servidor de inscripción para la política (consulte el código de error incrustado para conocer la causa específica; por ejemplo, RPC_S_SERVER_UNAVAILABLE, fallo de Kerberos).	Compruebe la accesibilidad de CA/RPC (puertos 135 + RPC dinámico); verifique que el certificado SSL en el punto final CEP sea de confianza; compruebe la autenticación Kerberos en el servidor de políticas de inscripción; para RPC_S_SERVER_UNAVAILABLE, habilite también las reglas del firewall de CA y verifique CERTSVC_DCOM_ACCESS.
10036 (CA)	rechazo de endurecimiento de DCOM	Compruebe los niveles de parches de CVE-2021-26414; verifique CERTSVC_DCOM_ACCESS.

Paso 6: Compruebe si hay solicitudes pendientes o fallidas en la CA.

Abra certsrv.msc en la CA emisora e inspeccione:

Solicitudes pendientes: La plantilla requiere la aprobación del administrador de CA, lo que impide la inscripción totalmente automática, ya que las solicitudes permanecen pendientes hasta su aprobación. Edite la plantilla → Gestión de solicitudes → desactive la aprobación.
Solicitudes fallidas: Haga clic con el botón derecho → Propiedades para ver el código de rechazo. Causas comunes: la plantilla requiere una dirección de correo electrónico que el objeto de Active Directory no tiene; se requiere el archivado de claves, pero no hay ninguna KRA configurada.

Verifique también que el certificado de la CA emisora se encuentre en el contenedor NTAuth de Active Directory; si no está presente, los certificados no se inscribirán automáticamente.

certutil -dspublish -f IssuingCA.cer NTAuthCA

certutil -viewstore -enterprise NTAuth

Guía de referencia rápida: Tabla de códigos de error

Error	Causa principal	Solución
Sin certificado, sin entradas en el registro de eventos.	La GPO no llega al cliente; AEPolicy != 7	gpresult /r; comprobar el registro de AEPolicy; verificar el vínculo entre la OU y la GPO
RSOP muestra que está habilitado, pero no hay certificado.	Caché obsoleto o falta el permiso de inscripción automática	Eliminar la clave AEDirectoryCache; comprobar los permisos de la plantilla.
Evento 64: Advertencia: Un certificado está a punto de caducar o ya ha caducado.	El evento se activa cuando el certificado está a punto de caducar (o ha caducado) según el intervalo de tiempo configurado en la directiva de grupo de inscripción automática.	Compruebe el período de renovación en la plantilla; verifique la accesibilidad de la CA; confirme que Read+Inscrib+Autoenroll sigue presente.
0x800706BA: RPC no disponible	El firewall está bloqueado, el parche DCOM no coincide o se ha modificado el valor de CERTSVC_DCOM_ACCESS.	Habilitar las reglas del firewall de CA; comprobar CVE-2021-26414; verificar el grupo DCOM
Funciona para algunos usuarios, no para otros.	El usuario no pertenece al grupo con Autoenroll o se encuentra en una unidad organizativa incorrecta.	Agregar al grupo; mover a la OU correcta; gpupdate + certutil -pulse
Los certificados informáticos funcionan, los certificados de usuario no.	La ruta de la GPO de configuración de usuario no está habilitada.	Habilite también la inscripción automática en Configuración de usuario.
Solo falla para usuarios remotos/VPN.	CA inaccesible antes de que se establezca la VPN al iniciar sesión.	Configure la VPN antes del inicio de sesión; o ejecute certutil -pulse después de que la VPN se conecte.
Acumulación de certificados duplicados	Sustitución de plantilla no configurada	Agregue la plantilla antigua a la pestaña Plantillas reemplazadas de la nueva plantilla.

Cómo puede ayudar la consultoría de cifrado

Consultoría de cifrado proporciona servicios especializados para identificar vulnerabilidades y mitigar riesgos proporcionando Servicios de PKINuestra orientación estratégica alinea las soluciones PKI con los objetivos organizacionales, mejorando la eficiencia y minimizando costos. Al asociarse con Encryption Consulting, las organizaciones pueden aprovechar al máximo el potencial de las soluciones PKI, obteniendo beneficios financieros tangibles y manteniendo sólidas medidas de seguridad.

Nuestro Servicios de evaluación de PKI Ofrecemos una evaluación integral de su entorno ADCS actual, identificando deficiencias en la higiene de CA, las prácticas de respaldo, la configuración de CRL/AIA y el estado de la base de datos. Ya sea que su base de datos de CA haya crecido sin control con el tiempo o que sus procesos de mantenimiento carezcan de estructura, nuestro equipo le entregará un informe de riesgos detallado junto con una hoja de ruta priorizada para que su PKI vuelva a un estado óptimo y auditable.

Administrador de CertSecure

Si gestiona esto a gran escala en cientos de máquinas, la monitorización manual se vuelve insostenible. Una de las soluciones más completas en el ámbito de CLM es Administrador de CertSecure Por Encryption Consulting. Diseñado para abordar la creciente complejidad de los entornos de certificados, CertSecure Manager ofrece un enfoque centralizado, automatizado y basado en políticas para la gestión de certificados (CLM).

Inventario centralizado de certificados: Descubre e inventaría automáticamente los certificados en entornos de nube, locales e híbridos.
Gestión automatizada del ciclo de vida: Gestiona la emisión, renovación y revocación de certificados con una mínima intervención humana.
Motor de aplicación de políticas: Garantiza el cumplimiento de las políticas de seguridad de la empresa y los estándares del sector.
Control de acceso basado en roles (RBAC): Proporciona una gestión de acceso granular para garantizar que solo los usuarios autorizados puedan gestionar los certificados.
Integración con las principales autoridades de certificación y herramientas DevOps: Se integra a la perfección con autoridades de certificación públicas y privadas, así como con pipelines de CI/CD.
Monitorización y alertas en tiempo real: Ofrece paneles de control y alertas para certificados que caducan o están mal configurados.
Auditoría e informes: Mantiene registros e informes detallados para el cumplimiento normativo y el análisis forense.

Conclusión

La inscripción automática mediante directivas de grupo elimina la causa más común de fallos en los certificados en entornos de Active Directory: los errores humanos. Cuando se configura correctamente (con los permisos de plantilla adecuados, la configuración de GPO de doble ruta para certificados de máquina y de usuario, y el período de renovación ajustado a la validez del certificado), todo el ciclo de vida del certificado se ejecuta sin intervención del administrador. Los certificados se emiten al unirse al dominio, se renuevan antes de su vencimiento y se eliminan al revocarse, automáticamente, en todos los dispositivos incluidos en el ámbito de aplicación.

La configuración presenta puntos débiles reales, y la mayoría de ellos son silenciosos. Un permiso de inscripción automática faltante, un valor de AEPolicy que nunca se escribió en registry.pol o una plantilla publicada en la CA incorrecta producirán el mismo resultado: ningún certificado, ningún error, ninguna indicación de dónde buscar. La secuencia de solución de problemas de esta guía —primero la entrega de GPO, luego la plantilla y los permisos, luego la inscripción manual para aislar la red de la configuración, y finalmente RPC/DCOM— está diseñada para resolver sistemáticamente esos problemas.

Una vez que la inscripción automática funciona correctamente, la pregunta operativa cambia de "¿se implementó este certificado?" a "¿están todos los certificados en buen estado en mi entorno?". A gran escala, esto requiere una visibilidad que va más allá de lo que ofrecen las herramientas nativas de Windows. Es ahí donde una solución de gestión del ciclo de vida de los certificados diseñada específicamente para este fin se vuelve valiosa: no para reemplazar la inscripción automática, sino para brindarle el inventario, las alertas y el registro de auditoría que la Directiva de grupo por sí sola no puede proporcionar.

Requisitos previos
Configuración de la plantilla de certificado
Cómo configurar la directiva de grupo y habilitar la inscripción automática.
Solución de problemas de inscripción automática
Cómo puede ayudar la consultoría de cifrado
Conclusión

Configurar la política de grupo para inscribir automáticamente dispositivos Windows