Il modello di certificato richiesto non è supportato da questa CA

Se visualizzi il messaggio Il modello di certificato richiesto non è supportato da questa CA quando richiedi un certificato, questo post ha lo scopo di aiutarti con la correzione applicabile per risolvere il problema.

La descrizione completa del messaggio quando si verifica questo problema è la seguente:

Il modello di certificato richiesto non è supportato da questa CA.
Non è possibile individuare un’autorità di certificazione (CA) valida configurata per emettere certificati basati su questo modello oppure la CA non supporta questa operazione oppure la CA non è attendibile.

Che cos’è un modello CA?

Un modello di certificato definisce i criteri e le regole che un’autorità di certificazione (CA) utilizza quando viene ricevuta una richiesta di certificato. Molti modelli incorporati possono essere visualizzati utilizzando lo snap-in Modelli di certificato. Per richiedere un certificato da Microsoft CA, connettersi a https://<nomeserver>/certsrv, dove <nomeserver> è il nome host del computer che esegue il servizio ruolo Registrazione Web CA. Fare clic su Richiedi un certificato > Richiesta di certificato avanzata > Crea e invia una richiesta di certificato a questa CA .

Sul computer client in cui si desidera registrare il certificato, nel Visualizzatore eventi, nel registro dell’applicazione, ID evento : 53 – Active Directory Certificate Services ha negato la richiesta perché questa CA non supporta il modello di certificato richiesto. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE) verrà registrato.

Il modello di certificato richiesto non è supportato da questa CA

Per un motivo o per l’altro, potrebbe essere necessario creare il modello per la richiesta di certificati da una CA di Windows, che potrebbe essere, ad esempio, la crittografia o la firma di documenti. È possibile che venga visualizzato il messaggio Il modello di certificato richiesto non è supportato da questa CA quando si richiede per la prima volta un certificato basato sul nuovo modello.

È probabile che si verifichi questo problema quando si utilizza un modello personalizzato perché tale modello non viene visualizzato nei criteri di registrazione di Active Directory. Se provi a risolvere questo problema selezionando la casella di controllo Mostra tutti i modelli , il nuovo modello verrà visualizzato, ma con lo stato Non disponibile, come mostrato nell’immagine introduttiva sopra. Di conseguenza, non troverai il modello nell’elenco se si desidera emettere un certificato basato sul nuovo modello.

Per risolvere questo problema, è necessario emettere il nuovo modello tramite certsrv.msc seguendo questi passaggi:

• Premere il tasto Windows + R per richiamare la finestra di dialogo Esegui.
• Nella finestra di dialogo Esegui, digita certsrv.msc e premi Invio per aprire Certification Authority .

Autorità di certificazione (certsrv.msc) è disponibile solo sui server in cui è installato il ruolo Servizi certificati Active Directory. Si trova nella C:\Windows\System32directory. È possibile installare l’autorità di certificazione seguendo i passaggi descritti su microsoft.com .

• In alternativa, apri Server Manager. Espandere Ruoli > Servizi certificati Active Directory .
• Nel riquadro di sinistra, fai clic con il pulsante destro del mouse su Modelli di certificato .
• Selezionare Nuovo > Modello di certificato da emettere .
• Ora seleziona il nuovo modello dall’elenco che appare.
• Fare clic su OK per confermare.

Ora attendi circa un’ora e prova a registrare nuovamente il certificato sul client. Se il certificato continua a non essere visualizzato, eseguire gpupdate /FORCE su tutti i controller di dominio e sul client.

Questo è tutto! Il modello deve essere visibile e disponibile quando richiedi il certificato in Gestione certificati (certmgr.msc).

Come si modificano le autorizzazioni su un modello di certificato?

Per modificare le autorizzazioni su un modello di certificato, procedere come segue:

• Aprire l’autorità di certificazione sul server CA.
• Fare clic con il pulsante destro del mouse sul nome della CA e scegliere Properties .
• Nella scheda Sicurezza , aggiungi il gruppo che contiene gli amministratori.
• Nella sezione Autorizzazioni , spunta la casella Leggi .
• Fare clic su OK per salvare le modifiche.