A continuación, se proporciona información para solucionar problemas de inscripción. Para ver consejos generales y buscar temas de solución de problemas, consulte Solución de problemas de EJBCA .

Error al emitir certificados respecto a usuarios que tienen el mismo DN de sujeto
Excepción con un error SQL al agregar un nuevo usuario
Error al emitir nuevo certificado
Me he inscrito manualmente en un servidor: ¿por qué se ignoran mis campos DN PKCS10?
¿EJBCA aún admite la inscripción del navegador?

Error al emitir certificados respecto a usuarios que tienen el mismo DN de sujeto

Causa

Si recibe el error de que un usuario no puede tener el mismo DN de sujeto que otro usuario, cuando está emitiendo certificados, esto se debe a la verificación Aplicar DN único .

De forma predeterminada, distintas entidades finales no pueden tener el mismo DN de sujeto emitido por una misma CA. La comprobación garantiza la unicidad del DN de sujeto y se realiza al emitir nuevos certificados.

Esto puede resultar inconveniente en algunos casos, ya que un usuario puede aparecer como múltiples entidades finales.

Solución

Para deshabilitar la aplicación de la unicidad del DN del sujeto, haga lo siguiente:

En la GUI de CA, haga clic en Autoridades de certificación en Funciones de CA.
Haga clic en Editar CA y, en la configuración de CA, desmarque la opción Aplicar DN único .

Para obtener más información sobre la opción Aplicar DN único , consulte Campos de CA.

Excepción con un error SQL al agregar un nuevo usuario

Problema

Al agregar un nuevo usuario, se genera una excepción con un error SQL como el siguiente: " Valor demasiado grande para la columna USERDATA.SUBJECTALTNAME " o " Valor demasiado grande para la columna USERDATA.SUBJECTDN ".

Causa

Esto puede suceder si ha especificado uno o más campos del Nombre alternativo del sujeto con una longitud total superior a 2000 caracteres (400 caracteres para el DN del sujeto).

Solución

Amplíe el tamaño de las columnas SUBJECTALTNAME y SUBJECTDN de la tabla USERDATA y SUBJECTDN de CERTIFICATEDATA.

A continuación se muestra un ejemplo para ampliar las columnas subjectDN y altName en MySQL (versión > 5.0.3):

 mysql> alter table CertificateData modify subjectDN varchar( 2048 );
 mysql> alter table UserData modify subjectDN varchar( 2048 );
 mysql> alter table UserData modify subjectAltName varchar( 2048 );

Los nuevos tamaños de columna pueden causar problemas al aplicar índices en algunas versiones de bases de datos, generando errores como, por ejemplo: "La clave especificada era demasiado larga; la longitud máxima de la clave es 767 bytes".

Para evitar este problema, cree el índice sobre un subconjunto de la columna ejecutando lo siguiente:

mysql> create index certificatedata_idx4 ON CertificateData (subjectDN( 250 ));

Para obtener más información sobre los nombres alternativos de sujeto y los campos DN de sujeto, consulte Campos de perfiles de entidad final .

Error al emitir nuevo certificado

Problema

Al emitir un nuevo certificado, obtengo la excepción/error: Se obtuvo una solicitud con el estado GENERADO (40), NUEVO, FALLIDO o EN PROCESO requerido: foo; la excepción anidada es: javax.ejb.EJBException:null

Causa

Al usar la sesión de autenticación (predeterminada), todos los usuarios tienen un estado. El ciclo de vida del estado comienza con NUEVO y termina con REVOCADO. Solo cuando el estado es NUEVO, FALLIDO o EN PROCESO es posible emitir un certificado a un usuario. Una vez emitido el certificado, el estado se establece en GENERADO. Esto funciona como un esquema de contraseña de un solo uso.

Solución

Para emitir un nuevo certificado al usuario, su estado debe restablecerse a NUEVO, FALLIDO o EN PROCESO.

Para restablecer el estado, ejecute lo siguiente:

bin/ejbca.sh ra setendentitystatus username status Status '10' is NEW

Para ver una lista de todos los códigos de estado, ejecute:

bin/ejbca.sh ra setendentitystatus

Para obtener más información, consulte Crear certificados y roles de usuario y Operaciones de reglas de acceso .

Me he inscrito manualmente en un servidor: ¿por qué se ignoran mis campos DN PKCS10?

PKCS#10 es un formato estándar para enviar la clave pública (autofirmada para proporcionar prueba de posesión) a una CA. EJBCA no confía en las partes del DN que el usuario introduce al crear la solicitud PKCS10. La única forma de que el certificado coincida con lo que se introduce en pkcs10 es introducirlo en la entidad final de EJBCA. Si realmente confía en las RA que envían solicitudes de certificado, existe una opción para permitir la anulación del DN en el Perfil del Certificado; consulte Campos del Perfil del Certificado .

¿EJBCA aún admite la inscripción del navegador?

No. La antigua función que permitía acceder a una página web y que el navegador generara un par de claves, enviando una solicitud de firma de certificado (CSR) a la CA, ya no existe en los navegadores web. Firefox eliminó la compatibilidad con la etiqueta Keygen en la versión 69, y la versión de Internet Explorer que admitía el control de inscripción de certificados (CertEnroll) no ha recibido soporte de Microsoft durante mucho tiempo.