Назад | Перейти на главную страницу

Отсутствует шаблон сертификата в «шаблоне сертификата для выдачи»

У меня проблема, аналогичная той, что написана в этом вопросе:

Отсутствует шаблон сертификата От сертификата к выпуску

Краткая версия заключается в том, что я создал дубликат шаблона сертификата и пытаюсь добавить его в центр сертификации своего домена, чтобы с его помощью можно было выдавать сертификаты. Однако, когда я захожу в MMC центра сертификации и перехожу к «Шаблоны сертификатов -> Новый -> Шаблон сертификата для выдачи», мой шаблон отсутствует (вместе с большим количеством других шаблонов, которые присутствуют в домене).

в отличие Однако предыдущий вопрос: мой центр сертификации работает на сервере 2008 R2 Enterprise. В нашей организации есть один DC и один CA, поэтому я не вижу, где может быть задержка распространения.

Есть идеи, как показать мой шаблон, чтобы я мог выдавать сертификаты?

Просто хотел выбросить это для будущих искателей, к которым это не относится. Мне пришлось войти в ADSI Edit и изменить флаг с 2 на 10. Мне пришлось перезапустить службу ADCS, прежде чем сертификат стал доступен.

"... ADSIEdit.msc, затем разверните CN = Configuration | CN = Services | CN = Public Key Services | CN = Enrollment Services. Щелкните правой кнопкой мыши ЦС на правой панели, из которой вы хотите зарегистрироваться, и выберите свойства. Найдите флаги атрибут и убедитесь, что он установлен на 10. Если он не установлен на 10, установите его на 10 с помощью ADSIedit.msc и позвольте репликации Active Directory завершиться ».

http://securitymusings.com/article/1733/cant-create-a-new-certificate-template-to-issue

Имеет ли учетная запись, которая хочет использовать шаблон, права на это? в консоли управления щелкните правой кнопкой мыши контейнер шаблона сертификата и выберите управление шаблонами. Для отсутствующего шаблона щелкните правой кнопкой мыши и выберите свойства. На вкладке безопасности убедитесь, что учетная запись, которая хочет запросить сертификат, имеет право на регистрацию.

Если вы ищете, почему вновь созданный шаблон не отображается для «Шаблон сертификата для выпуска», я столкнулся с этим на сервере 2012 R2. Чтобы что-то попробовать, я остановил и перезапустил службы сертификации Active Directory, после чего появился вновь созданный шаблон. Если ни для чего другого, не помешает попробовать его, если вы не видите свой новый шаблон.

Если вы не хотите связываться с adsiedit, вы можете использовать команду certutil как обходной путь:

  • certutil -setCAtemplates + "templateName" (для добавления шаблона)
  • certutil -setCAtemplates - "templateName" (для удаления шаблона)

Команды должны запускаться локально в Enterprise CA под администратором домена.

Что странно, параметр setCAtemplates отсутствует в официальной документации и встроенной справке по командам, но он работает без проблем. Я нашел это в Windows Server 2008 - Руководство по миграции служб сертификации Active Directory