Окружающая среда
Windows Server 2008 sp1 Xeon CPU E5430 @ 2,66 ГГц 16,0 ГБ ОЗУ 64-разрядная операционная система 1 ТБ дискового пространства
Роль сервера: SQL Server Другая информация: подключено к домену, зарегистрирован пользовательский администратор домена
Проблема
Действия, вызывающие проблему:
Создайте сертификат компьютера с помощью оснастки «сертификаты» mmc, щелкнув правой кнопкой мыши папку «Сертификаты» в дереве «root \ Personal» и выбрав Все задачи -> Запросить новый сертификат. Появится окно регистрации сертификата, вы подтверждаете, что подключены к сети и вошли в домен. Затем нажмите Далее, что приведет к окну с указанием проблемы:
«Типы сертификатов недоступны»
«На этот раз вы не можете запросить сертификат, потому что нет доступных типов сертификатов. Если вам нужен сертификат, обратитесь к администратору».
Требуемое решение
Создайте сертификат на этом сервере, чтобы реализовать SSL-соединение с серверами MSSQL.
Вы идете по правильному пути (http://support.microsoft.com/kb/316898/en-us), но ошибка, вероятно, означает, что либо у вас нет центра сертификации предприятия (ЦС) в домене, либо ЦС по какой-то причине не принимает новые запросы сертификатов. Также может случиться так, что ваш установленный ЦС не позволяет создавать сертификаты типа «Компьютер». Это можно проверить в конфигурации CA.
Решение зависит от того, есть ли у вас уже установленный и настроенный центр сертификации предприятия. Если нет, то вам нужно создать его (есть руководство на сайте Microsoft Technet, но это нетривиально) или использовать другой способ создания самозаверяющих сертификатов SSL, например, один из бесплатных загружаемых инструментов.
в моей настройке у меня есть 4 DC, и мне нужен сертификат для LDAPS. Я успешно создал сертификат на контроллерах домена, на которых установлен ЦС, но на других я, как и вы, получил ошибку «Типы сертификатов недоступны».
проблема заключалась в том, что эти DC не доверяли CA. Я добавил сертификат в доверенные корневые центры сертификации в политике домена по умолчанию, gpupdate на контроллерах домена, и он работал
У меня была такая же проблема с запросом сертификатов компьютера вручную, хотя они работали автоматически, и проблем с запросом сертификатов пользователей не было.
Я решил проблему, изменив параметры безопасности каталога IIS, чтобы разрешить анонимный доступ только для виртуального каталога PKI!
У меня недавно была такая же проблема. Предполагая, что вы используете AD CS, для решения проблемы удалите параметры политики регистрации Active Directory в объекте групповой политики, указывающие клиенту, где найти серверы регистрации сертификатов, а затем снова добавьте те же параметры:
Конфигурация компьютера> Политики> Параметры Windows> Параметры безопасности> Политики открытого ключа> Клиент служб сертификации - Политика регистрации сертификатов
Измените этот параметр:
В списке политик регистрации сертификатов удалите политику регистрации Active Directory. Затем снова добавьте его и установите по умолчанию. Выполните GPUPDATE на клиенте, который не может видеть шаблоны сертификатов, и повторите попытку.