此 CA 不支持請求的證書模板

此 CA 不支持請求的證書模板

如果您在請求證書時看到消息請求的證書模板不受此 CA 的支持,那麼這篇文章旨在幫助您使用適用的修復程序來解決該問題。

出現此問題時的完整消息描述如下:

此 CA 不支持請求的證書模板。
找不到配置為基於此模板頒發證書的有效證書頒發機構 (CA),或者 CA 不支持此操作,或者 CA 不受信任。

什麼是 CA 模板?

證書模板定義證書頒發機構 (CA) 在收到證書請求時使用的策略和規則。可以使用證書模板管理單元查看許多內置模板。要從 Microsoft CA 申請證書,請連接到 https://<servername>/certsrv,其中 <servername> 是運行 CA Web Enrollment 角色服務的計算機的主機名。單擊請求證書>高級證書請求>創建證書請求並將其提交給此CA。

在您要註冊證書的客戶端計算機上,在事件查看器的應用程序日誌下,事件 ID:53 Active Directory 證書服務拒絕了請求,因為此 CA 不支持請求的證書模板。0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE) 將被記錄。

此 CA 不支持請求的證書模板

出於某種原因,您可能需要創建用於從 Windows CA 請求證書的模板,例如,加密或簽署文檔。當您第一次請求基於新模板的證書時,您可能會收到消息請求的證書模板不受此 CA 的支持。

您在使用自定義模板時可能會遇到此問題,因為該模板未出現在 Active Directory 註冊策略中。如果您嘗試通過選中“顯示所有模板”複選框來解決此問題,將顯示新模板,但狀態為“不可用”,如上圖導入圖像所示 – 因此,您將不會在列表中找到該模板如果您想根據新模板頒發證書。

要解決此問題,您需要按照以下步驟通過 certsrv.msc 發布新模板:

通過證書頒發機構 (certsrv.msc) 發布自定義模板
  • Windows 鍵 + R調用“運行”對話框。
  • 在“運行”對話框中,鍵入 certsrv.msc 並按 Enter 以打開Certification Authority

證書頒發機構 (certsrv.msc) 僅在安裝了 Active Directory 證書服務角色的服務器上可用。它位於C:\Windows\System32目錄中。您可以按照microsoft.com上概述的步驟安裝證書頒發機構。

  • 或者,打開服務器管理器。展開角色> Active Directory 證書服務
  • 在左窗格中,右鍵單擊Certificate Templates
  • 選擇新建>要頒發的證書模板
  • 現在,從出現的列表中選擇新模板。
  • 單擊“確定”進行確認。

現在等待大約一個小時,然後再次嘗試在客戶端上註冊證書。如果證書仍未顯示,請在所有域控制器和客戶端上運行 gpupdate /FORCE。

就是這樣!當您在證書管理器 (certmgr.msc) 中請求證書時,該模板應該可見且可用。

如何更改證書模板的權限?

要更改證書模板的權限,請執行以下操作:

  • 在 CA 服務器上打開證書頒發機構。
  • 右鍵單擊 CA 名稱並選擇屬性
  • 在“安全”選項卡上,添加包含管理員的組。
  • 權限部分,選中閱讀框。
  • 單擊確定以保存更改。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *