# Solución de problemas
## Problemas de conexión
### Vista del cliente
#### XML incorrecto
{% hint style="warning" %}
No se puede conectar porque necesitas un certificado para iniciar sesión. Ponte en contacto con tu persona de soporte de TI.
{% endhint %}
Comprueba que tu cliente tenga un certificado para autenticarse y que estés usando el correcto [perfil de configuración de WiFi](/es/implementacion-de-perfiles/microsoft-intune/wifi-profile.md) o [XML](/es/portal-de-administracion/settings/trusted-roots.md#xml).
#### Problemas con la raíz de confianza
{% hint style="warning" %}
No se puede conectar a esta red.
{% endhint %}
Comprueba que hayas hecho lo siguiente:
* Indicaste a tu servidor RADIUS qué certificados están अनुमतिidos para conectarse, como se describe [aquí](/es/portal-de-administracion/settings/trusted-roots.md#add)
* Importaste el certificado activo del servidor RADIUS como raíz de confianza en tu cliente, como se describe [aquí](/es/implementacion-de-perfiles/microsoft-intune/trusted-root.md#to-add-a-trusted-root-profile-for-your-clients)
* Comprueba tus [Registros](/es/portal-de-administracion/insights/log.md#logs). Hay una descripción detallada del error. Tal vez sea un problema de [este](/es/otro/troubleshooting.md#fatal-decrypt-error) .
#### ¿Continuar conectando?
{% hint style="warning" %}
¿Continuar conectando? \
Si esperas encontrar Corporate WiFi en esta ubicación, sigue adelante y conéctate. De lo contrario, podría tratarse de otra red con el mismo nombre.
Mostrar detalles del certificado.
{% endhint %}
Si tus clientes necesitan verificar al conectarse por primera vez y ves este diálogo:
Asegúrate de haber referenciado el certificado del servidor RADIUS en tu perfil de WiFi y de haber proporcionado el atributo SAN (FQDN) y el nombre común (CN) del certificado del servidor:
Mostrando el atributo SAN (FQDN) y el nombre común (CN) del certificado del servidor
### Vista del servidor
#### CA desconocida
Si tus [Registros](/es/portal-de-administracion/insights/log.md#logs) contienen mensajes de error similares a los que se muestran a continuación
```
ERROR: (14872) eap_tls: ERROR: SSL says error 20 : unable to get local issuer certificate
ERROR: (14872) eap_tls: ERROR: TLS Alert write:fatal:unknown CA
Error: tls: TLS_accept: Error in error
Auth: (14872) Login incorrect (eap_tls: SSL says error 20 : unable to get local issuer certificate): [host/8dc38402-20fb-41db-a8f3-4e4e95637173/] (from client contoso port 1 cli 18-9K-EA-0H-7F-C5)
```
puede tener las siguientes causas raíz:
* El cliente muestra error `TLS Alert read:fatal:unknown CA`
* Tu cliente no conoce el **certificado del servidor** y rechaza la conexión. Comprueba que hayas añadido tu **certificado del servidor** como se describe [aquí](/es/implementacion-de-perfiles/microsoft-intune/trusted-root.md#adding-a-trusted-root-profile-for-your-clients).
* has cambiado/añadido un nuevo **certificado del servidor** y tu perfil XML en el cliente está usando el antiguo. En ese caso, verifica que hayas actualizado tu perfil de WiFi/cableado o que hayas regenerado tu [XML](/es/portal-de-administracion/settings/trusted-roots.md#xml) después de añadir los certificados y lo hayas enviado a tus clientes.
* El servidor muestra error `TLS Alert write:fatal:unknown CA`
* Tu servidor RADIUS no conoce al emisor del certificado que se utilizó para la autenticación. Añade tu CA como se describe [aquí](/es/portal-de-administracion/settings/trusted-roots.md#add).
#### Certificado desconocido
Si usas macOS (y posiblemente otras plataformas de Apple) y si tus [Registros](/es/portal-de-administracion/insights/log.md#logs) contienen mensajes de error similares al que se muestra a continuación
```
eap_tls: (TLS) TLS - Alert read:fatal:certificate unknown
```
puede tener las siguientes causas raíz:
* Hay un carácter de espacio en algún lugar del **Nombre del servidor del certificado** en su [WiFi](/es/implementacion-de-perfiles/microsoft-intune/wifi-profile/apple-devices.md) o [Cableado](/es/implementacion-de-perfiles/microsoft-intune/wired-profile/mac.md) perfil de configuración.
#### Error de descifrado | Acceso denegado
Si tus [Registros](/es/portal-de-administracion/insights/log.md#logs) contienen mensajes de error similares a los que se muestran a continuación
```
Auth: (312) Login incorrect (eap_tls: TLS Alert write:fatal:decrypt error): [host/00128t09-cbna-469c-9768-2783d28eikl9/] (from client contoso port 1 cli 84-FD-D1-8C-0E-33)
ERROR: (320) eap_tls: ERROR: TLS Alert write:fatal:decrypt error
Error: tls: TLS_accept: Error in error
```
... entonces probablemente sea un error del software TPM en tus máquinas Windows. Se puede encontrar más información al respecto en la [documentación de SCEPman](https://docs.scepman.com/certificate-deployment/microsoft-intune/windows-10#key-storage-provider-ksp-enroll-to-trusted-platform-module-tpm-ksp-otherwise-fail).
Si ves algo como esto en tus [Registros](/es/portal-de-administracion/insights/log.md#logs)
```
ERROR: (95878) eap_tls: ERROR: (TLS) Alert read:fatal:access denied
Auth: (95878) Login incorrect (eap_tls: (TLS) Alert read:fatal:access denied): [host/kad933-161d-4aa8-aeaa-b5a4d3d53b12]
ERROR: (95717) eap_tls: ERROR: (TLS) Alert read:fatal:access denied
```
... puede haber dos razones. Una es que tu perfil de WiFi esté haciendo referencia al certificado raíz incorrecto para la validación del servidor. Asegúrate de que tu perfil esté configurado correctamente. Si lo está y sigues enfrentando este problema, intenta establecer tu KSP en [**KSP de software**](https://docs.scepman.com/certificate-deployment/microsoft-intune/windows-10#key-storage-provider-ksp-enroll-to-trusted-platform-module-tpm-ksp-otherwise-fail).
{% hint style="warning" %}
La configuración Key Storage Provider (KSP) determina la ubicación de almacenamiento de la clave privada para los certificados del usuario final. El almacenamiento en el TPM es más seguro que el almacenamiento por software, porque el TPM proporciona una capa adicional de seguridad para evitar el robo de claves. Sin embargo, hay **un error en algunas versiones antiguas del firmware del TPM** que invalida algunas firmas creadas con una clave privada respaldada por TPM. En tales casos, el certificado no puede usarse para autenticación EAP, como es habitual en conexiones Wi‑Fi y VPN. Las versiones de firmware TPM afectadas incluyen:
* STMicroelectronics: 71.12, 73.4.17568.4452, 71.12.17568.4100
* Intel: 11.8.50.3399, 2.0.0.2060
* Infineon: 7.63.3353.0
* IFX: Version 3.19 / Specification 1.2
Si usas TPM con este firmware, actualiza tu firmware a una versión más reciente o selecciona "KSP de software" como proveedor de almacenamiento de claves.
{% endhint %}
#### No se puede continuar, ya que el peer se está comportando de forma incorrecta
Si tus registros contienen rechazos con el error *"No se puede continuar, ya que el peer se está comportando de forma incorrecta"* esto indica que el cliente dejó de comunicarse con el servicio RADIUS, principalmente porque la configuración de confianza es incorrecta. En este caso, verifica los certificados en los dispositivos afectados.
#### Secreto compartido RADIUS incorrecto
Si tu (proxy) [Registros](/es/portal-de-administracion/insights/log.md#logs) contienen mensajes de error similares a los que se muestran a continuación
```
- autenticador de mensaje, valor incorrecto
- buf2radmsg: la autenticación del mensaje falló
- radsrv: ignorando solicitud de default (8.222.246.231), validación fallida
```
entonces uno de tus puntos de acceso o switches que intenta conectarse a tu instancia de RADIUSaaS a través de un [RADIUS Proxy](/es/portal-de-administracion/settings/settings-proxy.md) está usando un [Secreto compartido](/es/portal-de-administracion/settings/settings-server.md#properties-1).
Para identificar el punto de acceso o switch afectado, primero determina el proxy RADIUS expandiendo el mensaje de error y buscando el `proxyip` propiedad. Ahora que conoces el proxy, usa tu inventario y el conocimiento de ubicaciones o grupos específicos de dispositivos que no pueden conectarse a tu red para identificar el dispositivo de red mal configurado. Por último, actualiza el secreto compartido para que coincida con el valor configurado en tu instancia de RADIUSaaS para ese proxy.
## Problemas con certificados
### No se pudo verificar la cadena de certificados
Cuando quieras usar tu propio certificado de servidor, tu servidor RADIUS requiere la cadena completa de certificados para permitir que otros participantes (Proxy, clientes RadSec, endpoints que intentan conectarse) verifiquen la identidad del servidor. \
Si ves este mensaje, copia y pega el certificado CA debajo del certificado del servidor en el campo de texto o crea un paquete de certificado PCKS8 que incluya todos los certificados desde el principal hasta la raíz.
## Problemas del portal de administración
### Inicio de sesión
Para iniciar sesión en el portal web de RADIUSaaS ("RADIUSaas Admin Portal"), deben cumplirse los siguientes requisitos:
* El UPN/dirección de correo que proporcionaste como administrador técnico debe poder autenticarse contra **algún** objeto de Microsoft Entra ID (Azure AD) (no tiene que ser una identidad del tenant cuyos usuarios usarán RADIUSaaS para la autenticación de red).
* El UPN/dirección de correo que proporcionaste como administrador técnico debe haberse registrado en tu instancia de RADIUSaaS, como se describe [aquí](/es/portal-de-administracion/settings/permissions.md). En caso de que sea el administrador inicial, por favor [contáctanos](https://www.radius-as-a-service.com/help/) si crees que registramos al usuario equivocado.
* El objeto de usuario de Microsoft Entra ID (Azure AD) detrás del UPN/dirección de correo debe tener permisos para conceder a la aplicación empresarial de RADIUSaaS los siguientes permisos (consulta la captura de pantalla a continuación):
* **Leer** el perfil básico de usuario
* **Mantener** acceso a los datos a los que le has dado acceso (permitir la solicitud de token de actualización)\
* En caso de que tu usuario de Microsoft Entra ID (Azure AD) no tenga permisos para conceder los permisos requeridos, no se creará automáticamente ninguna **aplicación empresarial** en tu Microsoft Entra ID (Azure AD). Para evitar esto, pide a tu departamento de TI que conceda a tu usuario los permisos necesarios.
## Problemas de configuración de Intune
### Asignación de perfil
La configuración de Wi‑Fi no se implementa si los perfiles de Wi‑Fi, SCEP y certificado de confianza están asignados a grupos diferentes. Pueden aparecer como "Pendiente" o no haber ningún estado. Utiliza el **mismo grupo o "Todos los dispositivos" resp. "Todos los usuarios"** para **todos los perfiles vinculados**.
Puedes asignar el perfil de certificado raíz SCEP tanto a "Todos los usuarios" como a "Todos los dispositivos" si utilizas un certificado de dispositivo (asignado a "Todos los dispositivos") y un certificado de usuario (asignado a "Todos los usuarios").
### Certificado SCEP
#### Android
Android parece requerir un UPN en el nombre alternativo del sujeto en versiones más recientes (incluso para certificados de dispositivo). Añade esto en tu perfil SCEP (por ejemplo, {{DeviceId}}@contoso.com):
### Perfil de Wi‑Fi
#### Android
Códigos de error comunes: 0xc7d24fc5 o -942518331
Los puntos clave son:
* selecciona el **certificado de la CA raíz** para **validación del servidor** (importante: no subas el certificado del servidor de RADIUSaaS)\
\&#xNAN;**- y -**
* define un **nombre del servidor RADIUS**
* Nota: Parece haber un límite de caracteres para este campo. Para resolver posibles problemas, podrías usar solo la parte del dominio sin subdominio, como "radius-as-a-service.com" (en lugar de "contoso.radius-as-a-service.com").
* [Desarrolladores de Android](https://developer.android.com/guide/topics/connectivity/wifi-enterprise) indican: "\[...] debe configurar **tanto un certificado de la CA raíz**, como ya sea un **coincidencia de sufijo de dominio** o una coincidencia de sujeto alternativa". Por lo tanto, el MDM puede usar "setAltSubjectMatch" o "setDomainSuffixMatch" después de añadir un certificado raíz a la configuración de Wi‑Fi. Intune parece usar "setDomainSuffixMatch", ya que basta con "radius-as-a-service.com".
* a veces **privacidad de identidad** es necesaria (p. ej., visto en dispositivos quiosco Android / Android Enterprise dedicados)
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.radiusaas.com/es/otro/troubleshooting.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.