Error cuando un usuario solicita un certificado de la CA páginas de inscripción Web: no se encontraron plantillas de certificado

En este artículo se proporciona ayuda para resolver un error (no se encontró ninguna plantilla de certificado) que se produzca al solicitar certificados de las páginas de inscripción Web de la entidad de certificación.

Versión del producto original:   Windows Server 2003
Número de KB original:   811418

Síntomas

Cuando un usuario intenta solicitar un certificado de las páginas de inscripción Web de la entidad de certificación (CA), el usuario puede recibir el siguiente mensaje de error:

No se encontraron plantillas de certificado. No tiene permiso para solicitar un certificado de esta entidad de certificación o se produjo un error al obtener acceso a Active Directory.

Este comportamiento se produce si las páginas de inscripción Web están en un dominio de Active Directory en un servidor de CA de empresa. Se produce independientemente de que las páginas de inscripción Web estén en el mismo servidor o en un servidor miembro diferente.

Causa

Las páginas de inscripción Web de CA realizan una comparación de dos valores de cadena que distinguen mayúsculas de minúsculas. Un valor es el valor sServerConfig del archivo certdat. Inc en la %systemroot%\System32\Certsrv carpeta del servidor de certificados y el otro valor es el atributo DnsHostName del objeto pkiEnrollmentService en Active Directory. Si las dos cadenas no coinciden, incluida la coincidencia de mayúsculas y minúsculas, se producirá un error en la inscripción.

Solución

Para corregir este comportamiento, siga estos pasos:

  1. Vea el atributo DnsHostName de Active Directory en el objeto pkiEnrollmentService . Este objeto se encuentra en la siguiente ubicación:

    CN = CertificateServer, CN = Servicios de inscripción, CN = Servicios de clave pública, CN = servicios, CN = configuración, DC = midominio, DC = com

    Para ver el atributo DnsHostName , Use ADSIEdit. msc o LDP.exe.

  2. Edite el archivo certdat. Inc para que el valor de sServerConfig sea el mismo que el valor del atributo dNSHostName seguido del nombre de la entidad de certificación.

    Nota

    El valor sServerConfig debe estar en el mismo caso exacto que el atributo dNSHostName. Si no es así, seguirá apareciendo el mismo error.

  3. Por ejemplo, si el nombre de host DNS para la entidad de certificación es servidor1. domain. local y el nombre de la entidad de certificación es MYCA, a continuación, asegúrese de que el atributo DNSHOSTNAME para CN = MYCA, CN = Servicios de inscripción, CN = Servicios de clave pública, CN = servicios, CN = configuración, DC = dominio, DC = el objeto local está establecido en server1. domain. local y sServerConfig en el archivo certdat. Inc de la %systemroot%\system32\certsrv carpeta de la entidad de certificación debe establecerse en server1. domain. local\MYCA.

  4. Solicite al usuario que desea solicitar el certificado que reinicie Internet Explorer. Esto permite que las nuevas credenciales pasen a la entidad de certificación.

    Nota

    Además, asegúrese de que se han concedido permisos de lectura e inscripción al usuario en la plantilla de certificado que solicita el usuario. Para conceder estos permisos, puede usar el complemento ADSIEdit o el complemento plantillas de certificado.