¿No puedes agregar tu espacio de trabajo de Azure Virtual Desktop o Windows 365 porque la aplicación Windows App / Microsoft Remote Desktop muestra el mensaje “Certificate validation failed”? En esta guía encontrarás una explicación completa de la causa, métodos de diagnóstico y pasos detallados para solucionarlo en macOS Sonoma y Windows 11, con especial atención a entornos que usan tarjeta inteligente (CAC).
Motivo del error “Certificate validation failed”
El mensaje aparece cuando la aplicación intenta validar el certificado presentado por el servicio rdweb.wvd.microsoft.com (o la URL de tu espacio de trabajo) y detecta que el certificado seleccionado de forma automática en el sistema no coincide con la cadena de confianza esperada. En la mayoría de los casos la raíz del problema es una “Preferencia de identidad” (Identity Preference) obsoleta —un tipo de ítem que macOS y Windows guardan en el llavero o el almacén de certificados para recordar qué credencial usar contra cada host.
Cuando cambian los certificados en tu tarjeta CAC o se actualiza el backend de Azure Virtual Desktop, esa preferencia puede volverse inválida. El resultado: cada vez que Windows App se conecta, intenta emplear ese certificado antiguo y la verificación falla al instante.
Síntomas recurrentes
- Error emergente inmediato al agregar o actualizar el workspace: “Certificate validation failed — Try again by doing the following…”
- No se muestra la tarjeta inteligente como opción de inicio de sesión a pesar de tener un lector conectado.
- En macOS, la Consola del sistema registra entradas de
smartcarddrelacionadas con certificados no válidos. - En Windows, el Visor de eventos bajo Microsoft > Windows > TerminalServices-ClientActiveXCore indica
0x800B0109 (CERTEUNTRUSTEDROOT).
Cómo diagnosticar rápidamente
- Desconecta la CAC y vuelve a lanzar Windows App. Si el error cambia a “Select a certificate” es señal de que la aplicación sí reconoce la tarjeta pero está atada a un certificado incorrecto.
- En macOS abre Acceso a Llaveros y filtra por Identity Preference. ¿Ves entradas cuyo nombre contenga la URL del workspace? Esa preferencia será la culpable.
- En Windows ejecuta
certmgr.msc> Personal y Trusted People; busca certificados dirigidos a rdweb.wvd.microsoft.com. Su fecha de emisión suele ser anterior a la última renovación de la CAC.
Solución confirmada para macOS Sonoma
| Paso | Descripción | Resultado esperado |
|---|---|---|
| 1 | Abrir Acceso a Llaveros. En la barra lateral, seleccionar “Acceso” > “Login”. En la parte superior elegir “Todos los ítems” y en el campo de búsqueda escribir la URL del workspace o rdweb.wvd.microsoft.com. Borrar los ítems de tipo Preferencia de identidad. | Al iniciar de nuevo Windows App, la aplicación pide seleccionar el certificado correcto y el error desaparece. |
| 2 | En Windows App > Settings > Advanced confirmar que Smart cards está habilitado. | La aplicación solicita la CAC durante el proceso de inicio de sesión. |
| 3 | Si la CAC no se muestra: • Revisa en Menú Apple > Información del sistema > USB que el lector figure en la lista. • Actualiza el middleware de la tarjeta (SafeNet 11.x, ActivClient 7.x o similar). • Reinicia el servicio: sudo launchctl stop com.apple.smartcardd sudo launchctl start com.apple.smartcardd | La tarjeta aparece en “Other sign‑in options” y se puede elegir. |
Procedimiento equivalente en Windows 11
- Eliminar certificados obsoletos
Pulsa Win + R, escribecertmgr.mscy presiona Enter. En Personal o Trusted People localiza el certificado emitido para la URL del espacio de trabajo y bórralo. - Quitar credenciales almacenadas
Abre Panel de control > Administrador de credenciales > Credenciales de Windows y elimina cualquier entrada relacionada con Azure Virtual Desktop o Windows 365. - Reiniciar Microsoft Remote Desktop
Cierra completamente la aplicación desde la bandeja del sistema y vuelve a abrirla. Ahora pedirá la tarjeta inteligente o el nuevo certificado correcto.
Preguntas frecuentes (FAQ)
¿Puedo simplemente reinstalar Windows App?
La reinstalación no borra la preferencia de identidad; por eso el error persiste. Solo eliminar la entrada específica soluciona el problema.
¿El error se debe a un certificado raíz caducado?
No. La validación falla porque el cliente intenta usar un certificado de usuario que ya no coincide con la CAC. El certificado raíz de Microsoft sigue siendo válido.
¿Qué versiones están afectadas?
Los reportes confirman Windows App 11.0.5 en macOS 14.4 Sonoma y Windows App 11.1 en Windows 11 24H2, pero el patrón es aplicable a cualquier update si existe una Identity Preference obsoleta.
Trabajo en un entorno gubernamental. ¿Tocar el llavero vulnera la política DISA STIG?
Eliminar una preferencia de identidad no borra el certificado de la CAC ni altera la cadena de confianza; únicamente elimina una vinculación local. No entra en conflicto con la guía AGDID-1&2 de DISA STIG.
Consejos preventivos
- Actualiza Windows App y Microsoft Remote Desktop tan pronto como salgan nuevas compilaciones: incorporan correcciones que descartan automáticamente identidades corruptas.
- Mantén el middleware de la tarjeta al día. Las versiones antiguas de SafeNet o ActivClient tienden a dejar referencias fantasma en el llavero.
- Evita forzar el cierre de Windows App con
kill -9durante un prompt de certificado; ese corte abrupto suele dejar una preferencia mal grabada. - Si cambias o renuevas tu CAC, borra manualmente la preferencia de identidad antes de volver a conectarte.
Apéndice A – Comandos útiles de comprobación
# Listar lectores y estado del servicio de smart card en macOS
system_profiler SPSmartCardsDataType
Ver si la URL del workspace apunta a un certificado obsoleto
security dump-keychain | grep -A2 rdweb.wvd.microsoft.com
Mostrar detalles de certificados de usuario en Windows por PowerShell
Get-ChildItem Cert:\CurrentUser\My |
Where-Object {$\_.Subject -like "UPN"} |
Select-Object Subject, NotAfterApéndice B – Cómo funciona una Identity Preference
Cada vez que un proceso de macOS solicita un certificado a securityd, el sistema busca en este orden:
- Preferencias explícitas — Identity Preference, creadas al elegir “Remember this certificate” en un prompt.
- UUID de clave privada coincidente.
- Heurística basada en UPN, e-mailSAN y CN.
La valoración se interrumpe en el primer paso que arroje un resultado; por eso una preferencia desactualizada impide que la heurística alcance tu nuevo certificado CAC.
Apéndice C – Índice de errores relacionados
| Código | Descripción | Probable solución |
|---|---|---|
| 0x800B0109 | CERTEUNTRUSTEDROOT | Certificado raíz no incluido en el almacén Trusted Root. |
| 0x800B010A | CERTECHAINING | Corte en la cadena; instala los intermedios. |
| 0x8010002E | SCARDENO_SMARTCARD | Lector desconectado o CAC mal insertada. |
| 0x80100068 | SCARDENOREADERSAVAILABLE | Servicio smartcard apagado; reinícialo. |
Conclusión
La mayoría de los casos de “Certificate validation failed” al añadir un workspace en Windows App se resuelven limpiando las Identity Preferences corruptas o los certificados obsoletos en el sistema. Una vez que la aplicación vuelve a pedir la tarjeta inteligente y selecciona el certificado correcto, el inicio de sesión fluye sin errores. Mientras Microsoft publica un parche que gestione mejor las preferencias caducadas, este procedimiento manual es la solución más fiable y rápida.