Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

—-Если мне не изменяет память, в win2k8 через RPC и Web enrollment запросить сертификат на аутентификацию машины нельзя, как говорится, by design. Думаю, вам нужно попробовать через запросы enrollment request, причем скормить файл certreq тоже не получится, это тоже отключено. Копируете в буфер обмена ваш запрос и выполняете запрос. Если лениво это делать, то создайте свой шаблон для выдачи (если, конечно у вас на выдающем ЦС win2k8 EE + Enterprise subordinate)

По моему Андрей вы ошибаетесь. Я могу запросить через Web enrollment, и получить сертификат на базе шаблона Web Server. Таким же образом я могу запросить и получить сертификат для Exchange 2007 через request файл сгенерированый PowerShell командлетом, опять же на основе того же самого шаблона Web Server. Причем полученые таким образом сертификаты абсолютно работоспособны. Проверял. Проблема именно в получении сертификатов САМИМИ машинками, без моего участия через автовыдачу из ГП, либо с моей помощью через ММС консоль. Причем в мастере запроса сертификата я вижу шаблоны и могу даже прописать их свойства (т. права на получение сертификата на основе данного шаблона у моей учетки есть. Опять же если развернуть полный список шаблонов, то на неактивных шаблонах четко написано что нет прав для получения на их основе сертификатов) Но как только я нахимаю кнопку Enroll то практически сразу же получаю ошибку из первого поста. Куда копать не понимаю. В инете такое ощущение что таких проблем ни у кого не было.

Обновлено 10. 2016

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

CA Active Directory

Всем привет, как то давно я настроил для тестирования токенов центр сертификации, и забыл про него так как все работало как часы. Сегодня ко мне обратился сотрудник, с тем что у него в веб форме выпуска сертификатов выскакивает ошибка:

Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Я сразу подумал, что тупит служба CA и зашел на сервер ее перезапустить. Перезапуск не помог и я начал смотреть в просмотре событий ошибки, первое на что наткнулся это ошибка.

В модуле политики «Стандартная Windows» метод «Initialize» возвратил ошибку. Объект или свойство не найдено. Возвращен код состояния 0x80092004 (-2146885628). Политика служб сертификации Active Directory не содержит действительных шаблонов сертификатов.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

еще были получены ошибки.

Сертификат (#0) служб сертификации Active Directory IssueCrmCA не существует в хранилище сертификатов CN=NTAuthCertificates,CN=Public Key Services,CN=Services в контейнере конфигурации Active Directory. Репликация каталога невозможна.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

И зайдя в сам Центр сертификации в Шаблоны сертификатов выдавалась ошибка Не удалось загрузить информацию шаблона элемент не найден.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Первый раз я такое видел, и начал читать тичнет. Вроде на рисовалось решение. Делаем резервную копию наших ключей и выданных сертификатов. Щелкаем правым кликом вашему CA и выбираем все задачи-Архивация ЦС.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Откроется мастер архивации центра сертификации. Жмем Далее.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Ставим галки Закрытый ключ и сертификат ЦС и База данных сертификатов. Указываем каталог для резервного копирования.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Ставим пароль на архив.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Готово. Все бэкап у нас есть.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

В итоге получится один файл.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Теперь нам нужно удалить центр сертификации, идем в диспетчер серверов и нажимаете удалить роль.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Видим, нашу роль

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Снимаем галку и жмем далее.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-13

Нажимаем Удалить.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-14

После удаления нажимаем закрыть и перезагружаемся.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-15

На этом мы заканчиваем первую часть, продолжение читайте Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-2 часть.

Материал сайта pyatilistnik. org

Обновлено 02. 2016

Всем привет, ранее мы рассмотрели ошибку Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-1 часть. Мы удалили CA и перезагрузились. Теперь давайте заново поставим центр сертификации.

Напомню, что сам CA у меня находится на Windows Server 2008R2, но уверен, что решение подходит и для 2012 R2.

Открываем диспетчер серверов, и нажимаем Добавить роль.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-16

Выбираем Службы сертификации Active Directory.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-17

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-18

Ставим галки на Центр Сертификации и Служба регистрации в центре сертификации.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-19

Оставляем тип Предприятие.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-20

Подчиненный ЦС.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-21

Ставим использовать существующий закрытый ключ.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-22

Выбираем наш старый ключ и жмем далее.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-23

Выбираем каталоги установки.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-24

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-25

После установки жмем закрыть.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-26

Открываем оснастку Центр сертификации.

Читать также:  Сертификаты в СПА-салон

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-27

Переходим в шаблоны сертификатов, и видим, что шаблоны теперь появились.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-28

Теперь если зайти в конфигурацию схемы видно, что наш CA появился

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-29

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-30

Теперь нам нужно восстановить все выпущенные и отозванные сертификаты, Идем в оснастку Центр сертификации и жмем все задачи-Восстановление ЦС

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-31

Выскочит предупреждение, что сейчас будет остановлена служба, жмем ок.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Откроется мастер восстановления центра сертификации, жмем далее.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Выбираем наш архив

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

И запускаем наш CA.

Пользователь не может получить сертификат этого типа из-за запретов для шаблона сертификата. У вас нет необходимых полномочий для отправки запроса на сертификат в этот ЦС, или произошла ошибка доступа к части Active Directory-2

Вот так вот решается ошибка Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory.

Решения

Эта ошибка выдается, когда центр сертификации выпустил для сервера терминалов сертификат на основе шаблона сертификата, заданного в групповой политике, и удовлетворяется одно из следующих условий.

  • В групповой политике не задано верное имя шаблона сертификата.
  • Разрешения шаблона сертификата не позволяют серверу терминалов делать заявку на сертификат такого типа.
  • Сертификат не действителен для запрошенного применения.
  • Шаблон сертификата не существует.
  • Сертификаты, основанные на данном шаблоне сертификата, не выпускаются для компьютеров.

Параметр групповой политики Шаблон сертификата проверки подлинности сервера позволяет ввести имя шаблона сертификата, используемое для определения того, какой сертификат используется для проверки подлинности на сервере терминалов, когда применяется шифрование SSL или TLS 1. Ввод имени шаблона сертификата позволяет осуществлять автоматический выбор сертификата. После ввода имени шаблона сертификата просматриваются сертификаты, созданные с использованием этого шаблона, и один из подходящих сертификатов автоматически выбирается для использования.

В групповой политике не задано верное имя шаблона сертификата

Чтобы проверить, задано ли в групповой политике верное имя шаблона сертификата, воспользуйтесь консолью управления групповыми политиками.

Для выполнения данной процедуры необходимо быть членом группы Администраторы домена, Администраторы предприятия или Владельцы-создатели групповой политики либо являться обладателем соответствующих делегированных полномочий.

Примечание. Для управления групповой политикой на контроллере домена на базе Windows Server 2008 нужно сначала добавить компонент консоль управления групповыми политиками. Чтобы это сделать, запустите диспетчер сервера и в области Сводка компонентов щелкните Добавить компоненты. На странице Выбор компонентов установите флажок Управление групповыми политиками. Для завершения установки следуйте отображаемым на экране инструкциям.

Чтобы проверить, задано ли в групповой политике верное имя шаблона сертификата, выполните следующие действия.

  • Запустите консоль управления групповыми политиками. Для этого нажмите кнопку Пуск, выберите команду Администрирование, а затем Управление групповыми политиками.
  • На левой панели найдите подразделение, которое требуется изменить.
  • Для изменения имеющегося объекта групповой политики для подразделения разверните это подразделение и щелкните объект групповой политики.
  • На правой панели перейдите на вкладку Параметры.
  • На левой панели в области Конфигурация компьютера последовательно разверните узлы Административные шаблоны, Компоненты Windows, Службы терминалов и Сервер терминалов, а затем щелкните Безопасность.
  • На правой панели в списке параметров щелкните правой кнопкой мыши Шаблон сертификата проверки подлинности сервера и выберите команду Свойства.
  • На вкладке Параметры проверьте, выбрана ли установка Включено и верное ли имя задано в области Имя шаблона сертификата, после чего нажмите кнопку ОК.
  • Если параметр Включен не выбран или для шаблона сертификата не указано верное имя, см. ниже раздел «Указание верного имени шаблона сертификата в групповой политике».

Разрешения шаблона сертификата не позволяют серверу терминалов делать заявку на сертификат такого типа

Учетная запись компьютера сервера терминалов должна иметь разрешения Заявка для чтения соответствующего шаблона сертификата.

Для выполнения данной процедуры необходимо быть членом группы Администраторы предприятия или Администраторы домена корневого домена леса либо являться обладателем соответствующих делегированных полномочий.

Для проверки разрешений на шаблон сертификата, предоставленных серверу терминалов, выполните следующие действия.

  • На том компьютере, где установлена служба сертификации Active Directory, откройте оснастку «Шаблоны сертификатов». Чтобы открыть оснастку «Шаблоны сертификатов», нажмите кнопку Пуск, выберите команду Выполнить, введите mmc и нажмите клавишу ВВОД.
  • В меню Файл выберите команду Добавить или удалить оснастку.
  • В диалоговом окне Добавление и удаление оснастки щелкните Шаблоны сертификатов, нажмите кнопку Добавить, а затем ОК.
  • В дереве консоли щелкните Шаблоны сертификатов.
  • В области результатов щелкните правой кнопкой мыши шаблон сертификата, используемый как основа для сертификатов, выдаваемых серверам терминалов, и выберите команду Свойства.
  • На вкладке Безопасность в области Группы или пользователи проверьте, имеется ли в списке сервер терминалов (или содержащая его группа безопасности), и щелкните этот сервер терминалов. Выбрав сервер терминалов (или содержащую его группу безопасности), в области Разрешения проверьте, установлен ли флажок, допускающий разрешения Заявка, а затем нажмите кнопку ОК.
  • Если флажок, допускающий разрешения Заявка, не установлен, см. ниже раздел «Предоставление разрешений Заявка на шаблон сертификата серверу терминалов».

Сертификат не действителен для запрошенного применения

Шаблон сертификата, используемый службами сертификатов Active Directory в качестве основы для сертификатов сервера, выдаваемых серверам терминалов, должен иметь расширенное использование ключа проверки подлинности сервера.

Чтобы выяснить, задано ли в шаблоне сертификата расширенное использование ключа проверки подлинности сервера, выполните следующие действия

  • На том компьютере, где установлена служба сертификации Active Directory, откройте оснастку «Шаблоны сертификатов». Чтобы открыть оснастку «Шаблоны сертификатов», нажмите кнопку Пуск, выберите команду Выполнить, введите mmc и нажмите клавишу ВВОД.
  • В меню Файл выберите команду Добавить или удалить оснастку.
  • В диалоговом окне Добавление и удаление оснастки щелкните Шаблоны сертификатов, нажмите кнопку Добавить, а затем ОК.
  • В дереве консоли щелкните Шаблоны сертификатов.
  • В области результатов щелкните правой кнопкой мыши шаблон сертификата, используемый как основа для сертификатов, выдаваемых серверам терминалов, и выберите команду Свойства.
  • На вкладке Расширения в области Расширения, включенные в этот шаблон щелкните Использование ключа и нажмите кнопку Изменить.
  • Проверьте, выбрано ли расширение использования ключа проверки подлинности сервера, и нажмите кнопку ОК для закрытия диалогового окна Свойства для шаблона сертификата.
  • Если расширение использования ключа проверки подлинности сервера не выбрано, см. ниже раздел «Добавление расширенного использования ключа проверки подлинности сервера в шаблон сертификата».
Читать также:  Где взять сертификат соответствия на рутокен для налоговой

Шаблон сертификата не существует

Чтобы проверить существование шаблона сертификата, выполните следующие действия:

  • На том компьютере, где установлена служба сертификации Active Directory, откройте оснастку «Шаблоны сертификатов». Чтобы открыть оснастку «Шаблоны сертификатов», нажмите кнопку Пуск, выберите команду Выполнить, введите mmc и нажмите клавишу ВВОД.
  • В меню Файл выберите команду Добавить или удалить оснастку.
  • В диалоговом окне Добавление и удаление оснастки щелкните Шаблоны сертификатов, нажмите кнопку Добавить, а затем ОК.
  • В дереве консоли щелкните Шаблоны сертификатов.
  • В области результатов в списке шаблонов сертификатов найдите шаблон сертификата, используемый как основа для сертификатов, выдаваемых серверам терминалов.
  • Если этот шаблон сертификата отсутствует, см. ниже раздел «Создание нового шаблона сертификата».

Сертификаты, основанные на данном шаблоне сертификата, не выпускаются для компьютеров

Для того чтобы центр сертификации выпускал сертификаты на основе шаблона сертификата, этот шаблон сертификата нужно добавить в контейнер шаблонов сертификатов оснастки «Центр сертификации».

Для того чтобы проверить, добавлен ли центр сертификации в контейнер шаблонов сертификатов оснастки «Центр сертификации», выполните следующие действия.

  • На том компьютер, где установлена служба сертификации Active Directory, нажмите кнопку Пуск, выберите команду Выполнить, введите mmc и нажмите клавишу ВВОД.
  • В меню Файл выберите команду Добавить или удалить оснастку.
  • В диалоговом окне Добавление и удаление оснастки щелкните Центр сертификации, нажмите кнопку Добавить, а затем ОК.
  • Выберите центр сертификации, которым требуется управлять, и нажмите кнопку Готово.
  • Разверните узел Шаблоны сертификатов и проверьте, имеется ли в списке нужный шаблон сертификата. Имя сертификата должно соответствовать имени, заданному в параметре групповой политики Шаблон сертификата проверки подлинности сервера. Дополнительные сведения см. выше в разделе «Проверка задания верного сертификата в групповой политике».
  • Если требуемый сертификат отсутствует в списке, см. ниже раздел «Добавление шаблона сертификата в контейнер шаблонов сертификатов».

Задание верного шаблона сертификата в групповой политике

Для устранения этой проблемы задайте верный шаблон сертификата в групповой политике.

Чтобы задать верный шаблон сертификата в групповой политике, выполните следующие действия.

  • Запустите консоль управления групповыми политиками. Для этого нажмите кнопку Пуск, выберите команду Администрирование, а затем Управление групповыми политиками.
  • На левой панели найдите подразделение, которое требуется изменить.
  • Для изменения имеющегося объекта групповой политики для подразделения разверните это подразделение и щелкните объект групповой политики.
  • На правой панели перейдите на вкладку Параметры.
  • На левой панели в области Конфигурация компьютера последовательно разверните узлы Административные шаблоны, Компоненты Windows, Службы терминалов и Сервер терминалов, а затем щелкните Безопасность.
  • На правой панели в списке параметров щелкните правой кнопкой мыши Шаблон сертификата проверки подлинности сервера и выберите команду Свойства.
  • На вкладке Параметры щелкните Включен (если этот параметр групповой политики еще не включен) и в поле Имя шаблона сертификата введите имя верного шаблона сертификата.
  • Нажмите кнопку ОК.

Предоставление разрешений Заявка на шаблон сертификата серверу терминалов

Для устранения этой проблемы необходимо изменить шаблон сертификата, используемый службами сертификатов Active Directory в качестве основы для сертификатов сервера, выдаваемых серверам терминалов. Необходимо изменить шаблон сертификата для представления разрешений Заявка учетной записи компьютера сервера терминалов.

Чтобы предоставить разрешения Заявка на шаблон сертификата серверу терминалов, выполните следующие действия.

  • На том компьютере, где установлена служба сертификации Active Directory, откройте оснастку «Шаблоны сертификатов». Чтобы открыть оснастку «Шаблоны сертификатов», нажмите кнопку Пуск, выберите команду Выполнить, введите mmc и нажмите клавишу ВВОД.
  • В меню Файл выберите команду Добавить или удалить оснастку.
  • В диалоговом окне Добавление и удаление оснастки щелкните Шаблоны сертификатов, нажмите кнопку Добавить, а затем ОК.
  • В дереве консоли щелкните Шаблоны сертификатов.
  • В области результатов щелкните правой кнопкой мыши шаблон сертификата, используемый как основа для сертификатов, выдаваемых серверам терминалов, и выберите команду Свойства.
  • На вкладке Безопасность в области Группы или пользователи проверьте, имеется ли в списке нужный сервер терминалов (или содержащая его группа безопасности), и щелкните этот сервер терминалов. Если его нет, добавьте его.
  • Выбрав сервер терминалов (или содержащую его группу безопасности), в области Разрешения установите ли флажок, допускающий разрешения Заявка.
  • Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства для шаблона сертификата.

Добавление расширенного использования ключа проверки подлинности сервера в шаблон сертификатаДля устранения этой проблемы необходимо изменить шаблон сертификата, используемый службами сертификатов Active Directory в качестве основы для сертификатов сервера, выдаваемых серверам терминалов. Необходимо изменить шаблон сертификата, чтобы он имел расширенное использование ключа проверки подлинности сервера.

Чтобы добавить расширение использования ключа проверки подлинности сервера в шаблон сертификата, выполните следующие действия.

  • На том компьютере, где установлена служба сертификации Active Directory, откройте оснастку «Шаблоны сертификатов». Чтобы открыть оснастку «Шаблоны сертификатов», нажмите кнопку Пуск, выберите команду Выполнить, введите mmc и нажмите клавишу ВВОД.
  • В меню Файл выберите команду Добавить или удалить оснастку.
  • В диалоговом окне Добавление и удаление оснастки щелкните Шаблоны сертификатов, нажмите кнопку Добавить, а затем ОК.
  • В дереве консоли щелкните Шаблоны сертификатов.
  • В области результатов щелкните правой кнопкой мыши шаблон сертификата, используемый как основа для сертификатов, выдаваемых серверам терминалов, и выберите команду Свойства.
  • На вкладке Расширения в области Расширения, включенные в этот шаблон щелкните Использование ключа и нажмите кнопку Изменить.
  • Добавьте расширенное использование ключа проверки подлинности сервера и закройте диалоговое окно.
  • Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства для шаблона сертификата.

Создание нового шаблона сертификата

Для устранения этой неполадки выполните следующее.

  • Создайте новый шаблон сертификата. Службы сертификатов Active Directory будут использовать этот шаблон в качестве основы для сертификатов сервера, выдаваемых серверам терминалов.
  • Добавьте шаблон сертификата в контейнер шаблонов сертификатов оснастки «Центр сертификации». Это позволит выдавать сертификат сервера серверам терминалов.

Можно создать шаблон сертификата, скопировав имеющийся шаблон и используя его свойства как свойства по умолчанию нового шаблона. Разные приложения и типы центров сертификации поддерживают разные шаблоны сертификатов. Например, некоторые шаблоны сертификатов могут выпускать и ими могут управлять только центры сертификации, работающие под управлением Windows Server 2003, другие требуют, чтобы центр сертификации работал под управлением Windows Server 2008. Просмотрите список шаблонов сертификатов по умолчанию и их свойства, чтобы определить, какие из имеющихся шаблонов сертификатов лучше отвечают вашим нуждам. Это позволит сократить объем предстоящей работы по настройке.

Читать также:  Курсы маникюра в екатеринбурге для начинающих с сертификатом со скольки лет

Чтобы создать шаблона сертификата, выполните следующие действия.

  • На том компьютере, где установлена служба сертификации Active Directory, откройте оснастку «Шаблоны сертификатов». Чтобы открыть оснастку «Шаблоны сертификатов», нажмите кнопку Пуск, выберите команду Выполнить, введите mmc и нажмите клавишу ВВОД.
  • В меню Файл выберите команду Добавить или удалить оснастку.
  • В диалоговом окне Добавление и удаление оснастки щелкните Шаблоны сертификатов, нажмите кнопку Добавить, а затем ОК.
  • В дереве консоли щелкните Шаблоны сертификатов.
  • В списке шаблонов щелкните правой кнопкой мыши шаблон, который требуется скопировать, и выберите команду Скопировать шаблон.
  • Выберите минимальную версию центра сертификации, которую требуется поддерживать.
  • Введите новое имя для данного шаблона сертификата.
  • При необходимости настройте дополнительные параметры и нажмите кнопку ОК.

Добавьте шаблон сертификата в контейнер шаблонов сертификатов оснастки «Центр сертификации».

Для того чтобы центр сертификации выпускал сертификаты на основе шаблона сертификата, этот шаблон сертификата необходимо добавить в контейнер шаблонов сертификатов оснастки «Центр сертификации». Для выполнения данной процедуры необходимо быть членом группы Администраторы предприятия или Администраторы домена корневого домена леса либо являться обладателем соответствующих делегированных полномочий.

Чтобы добавить шаблон сертификата в контейнер шаблонов сертификатов, выполните следующие действия.

  • На том компьютере, где установлена служба сертификации Active Directory, откройте оснастку «Центр сертификации». Чтобы открыть оснастку «Центр сертификации», нажмите кнопку Пуск, выберите команду Выполнить, введите mmc и нажмите клавишу ВВОД.
  • В меню Файл выберите команду Добавить или удалить оснастку.
  • В диалоговом окне Добавление и удаление оснастки щелкните Центр сертификации, нажмите кнопку Добавить, а затем ОК.
  • Выберите центр сертификации, которым требуется управлять, и нажмите кнопку Готово.
  • Щелкните правой кнопкой мыши контейнер Шаблоны сертификатов, выберите команду Создать и щелкните Выдаваемый шаблон сертификата.
  • Выберите требуемый шаблон сертификата и нажмите кнопку ОК.

Добавление шаблона сертификата в контейнер шаблонов сертификатов оснастки «Центр сертификации»

Чтобы добавить шаблон сертификата в контейнер шаблонов сертификатов оснастки «Центр сертификации», выполните следующие действия.

Установите вид неполадки.

Оснастка «Шаблоны сертификатов» не содержит шаблонов после предложения установить новые шаблоны сертификатов

  • Причина: шаблоны сертификатов еще не реплицированы в центр сертификации (ЦС), к которому подключен компьютер. Эта репликация является частью репликации Active Directory.
  • Решение: подождите, пока реплицируются шаблоны сертификатов, и снова откройте оснастку «Шаблоны сертификатов».

Сертификаты не выдаются клиентам

  • Причина: сертификат поставщика, использованный центром сертификации (ЦС), имеет более короткий оставшийся срок действия, чем период продления шаблона, настроенный для шаблона сертификата запроса. Это означает, что выданный сертификат тотчас получил бы право на повторную подачу заявки. Вместо выдачи и непрерывного обновления этого сертификата запрос на сертификат не обрабатывается.
  • Решение: обновите сертификат поставщика, использованный ЦС.

Сертификаты выдаются субъектам, но действия шифрования с этими сертификатами дают сбой

  • Причина: поставщик служб шифрования (CSP) не соответствует параметрам использования ключа или не существует.
  • Решение: убедитесь, что в шаблоне установлен CSP, который поддерживает тип операции шифрования, для которого будет использоваться сертификат.

Контроллеры домена не получают сертификат контроллера домена

  • Причина: автоматическая подача заявок была отключена с помощью параметров групповой политики для контроллеров домена. Контроллеры домена получают свои сертификаты посредством автоматической подачи заявок.
  • Решение: включите автоматическую подачу заявок для контроллеров домена.
  • Причина: используемый по умолчанию параметр автоматического запроса сертификата для контроллеров домена удален из политики контроллеров домена, используемой по умолчанию.
  • Решение: создайте новый автоматический запрос сертификата в используемой по умолчанию политике контроллеров домена для шаблона сертификата контроллера домена.

Клиенты не могут получить сертификаты с помощью автоматической подачи заявок

  • Причина: разрешения безопасности должны быть установлены так, чтобы разрешать намеченным субъектам и подачу заявок, и автоматическую подачу заявок на основании шаблона сертификата. Чтобы включить автоматическую подачу заявок, требуются оба разрешения.
  • Решение: измените список управления доступом на уровне пользователей (DACL) шаблона сертификата для предоставления требуемым субъектам разрешений «Чтение», «Заявка» и «Автоматическая подача заявок».

В оснастке имена шаблонов сертификатов в представлениях и окнах отличаются

  • Причина: для просмотра шаблонов сертификатов используется оснастка «Веб-сайты и службы Active Directory». Эта оснастка не может предоставить настолько же точное отображение, как оснастка «Шаблоны сертификатов».
  • Решение: используйте для администрирования шаблонов сертификатов оснастку «Шаблоны сертификатов».

Закрытый ключ нельзя экспортировать из сертификатов смарт-карт, даже если установлен флажок «Разрешить экспорт закрытого ключа» в шаблоне сертификатов

  • Причина: смарт-карты не разрешают экспорт закрытых ключей, как только они занесены в смарт-карту.
  • Решение: нет

Шаблон сертификата изменен, но некоторые центры сертификации (ЦС) все еще имеют неизмененную версию

  • Причина: шаблоны сертификатов реплицируются между ЦС с помощью процесса репликации Active Directory. Поскольку эта репликация выполняется не мгновенно, возможна короткая задержка перед тем, как новая версия шаблона будет доступна на всех ЦС.
  • Решение: подождите, пока измененный шаблон не будет реплицирован на все ЦС. Для отображения доступных на ЦС шаблонов сертификатов используйте программу командной строки Certutil.exe.

Закрытый ключ не архивируется, даже если установлен параметр «Архивировать закрытый ключ шифрования субъекта» и в ЦС настроено требование восстановления ключа

  • Причина: закрытые ключи не будут архивироваться, если использование ключа для шаблона сертификата установлено в «Подпись». Причина в том, что использование цифровой подписи требует, чтобы ключ не мог быть восстановлен.
  • Решение: нет

Автоматическая подача заявок предлагает возобновить не принадлежащий пользователю сертификат, а в личных хранилищах сертификатов находятся сторонние сертификаты

  • Причина: при использовании на компьютере администратора станции подачи заявок смарт-карт для обновления или изменения сертификата, хранящегося на смарт-карте, сертификат со смарт-карты копируется в личное хранилище сертификатов администратора. Этот сертификат может быть обработан автоматической подачей заявок и предложен для начала процесса обновления.
  • Решение: нажмите кнопку Пуск, чтобы начать процесс обновления автоматической подачи заявок. Поскольку это чужой сертификат, процесс автоматической подачи заявок закончится после нажатия кнопки Пуск. Если нужно удалить сертификаты из личного хранилища сертификатов, это можно сделать вручную.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *