La plantilla de certificado solicitada no es compatible con esta CA

Si ve el mensaje La plantilla de certificado solicitada no es compatible con esta CA cuando solicita un certificado, entonces esta publicación está destinada a ayudarlo con la solución aplicable para resolver el problema.

La descripción completa del mensaje cuando ocurre este problema dice lo siguiente:

La plantilla de certificado solicitada no es compatible con esta CA.
No se puede ubicar una autoridad de certificación (CA) válida configurada para emitir certificados basados ​​en esta plantilla, o la CA no admite esta operación, o la CA no es de confianza.

¿Qué es una plantilla de CA?

Una plantilla de certificado define las políticas y reglas que utiliza una entidad emisora ​​de certificados (CA) cuando se recibe una solicitud de certificado. Muchas plantillas integradas se pueden ver mediante el complemento Plantillas de certificado. Para solicitar un certificado de Microsoft CA, conéctese a https://<nombre del servidor>/certsrv, donde <nombre del servidor> es el nombre de host de la computadora que ejecuta el servicio de función de inscripción web de CA. Haga clic en Solicitar un certificado > Solicitud de certificado avanzada > Crear y enviar una solicitud de certificado a esta CA.

En la máquina cliente en la que desea inscribir el certificado, en el Visor de eventos, en el registro de la aplicación, ID de evento : 53 : los servicios de certificados de Active Directory denegaron la solicitud porque esta CA no admite la plantilla de certificado solicitada. Se registrará 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE).

La plantilla de certificado solicitada no es compatible con esta CA

Por una u otra razón, es posible que deba crear su plantilla para solicitar certificados de una CA de Windows, que podría ser, por ejemplo, el cifrado o la firma de documentos. Es posible que reciba el mensaje La plantilla de certificado solicitada no es compatible con esta CA cuando solicite un certificado basado en la nueva plantilla por primera vez.

Es probable que encuentre este problema al usar una plantilla personalizada porque esa plantilla no aparece en la política de registro de Active Directory. Si intenta solucionar este problema seleccionando la casilla de verificación Mostrar todas las plantillas , se mostrará la nueva plantilla, pero con el estado No disponible, como se muestra en la imagen introductoria anterior; en consecuencia, no encontrará la plantilla en la lista. si desea emitir un certificado basado en la nueva plantilla.

Para resolver este problema, debe emitir la nueva plantilla a través de certsrv.msc siguiendo estos pasos:

• Presione la tecla de Windows + R para invocar el cuadro de diálogo Ejecutar.
• En el cuadro de diálogo Ejecutar, escriba certsrv.msc y presione Entrar para abrir la Autoridad de certificación .

La autoridad de certificación (certsrv.msc) solo está disponible en los servidores donde está instalada la función Servicios de certificados de Active Directory. Se encuentra en C:\Windows\System32el directorio. Puede instalar la autoridad de certificación siguiendo los pasos descritos en microsoft.com .

• Alternativamente, abra el Administrador del servidor. Expanda Funciones > Servicios de certificados de Active Directory .
• En el panel izquierdo, haga clic con el botón derecho en Plantillas de certificado .
• Seleccione Nuevo > Plantilla de certificado para emitir .
• Ahora, seleccione la nueva plantilla de la lista que aparece.
• Haga clic en Aceptar para confirmar.

Ahora espere aproximadamente una hora e intente inscribir el certificado en el cliente nuevamente. Si el certificado aún no se muestra, ejecute gpupdate /FORCE en todos los controladores de dominio y el cliente.

¡Eso es! La plantilla debe estar visible y disponible cuando solicite el certificado en el Administrador de certificados (certmgr.msc).

¿Cómo cambio los permisos en una plantilla de certificado?

Para cambiar los permisos en una plantilla de certificado, haga lo siguiente:

• Abra la Autoridad de Certificación en el servidor de CA.
• Haga clic con el botón derecho en el nombre de la CA y elija Propiedades .
• En la pestaña Seguridad , agregue el grupo que contiene los administradores.
• En la sección Permisos , marque la casilla Leer .
• Haga clic en Aceptar para guardar los cambios.