Błąd podczas żądania certyfikatu ze stron rejestracji internetowej urzędu certyfikacji: Nie można odnaleźć szablonów certyfikatów

  • Artykuł

Ten artykuł zawiera pomoc w rozwiązaniu błędu "Nie można odnaleźć szablonów certyfikatów", który występuje podczas żądania certyfikatów ze stron rejestracji internetowej urzędu certyfikacji.

Dotyczy: Windows Server 2003
Oryginalny numer KB: 811418

Symptomy

Gdy użytkownik próbuje zażądać certyfikatu ze stron rejestracji internetowej urzędu certyfikacji,użytkownik może otrzymać następujący komunikat o błędzie:

Nie można odnaleźć szablonów certyfikatów. Nie masz uprawnień do żądania certyfikatu z tego urzędu certyfikacji lub wystąpił błąd podczas uzyskiwania dostępu do usługi Active Directory.

To zachowanie występuje, jeśli strony rejestracji w sieci Web znajdują się w domenie usługi Active Directory na serwerze urzędu certyfikacji przedsiębiorstwa. Dzieje się tak, czy strony rejestracji internetowej znajdują się na tym samym serwerze, czy na innym serwerze członkowskim.

Przyczyna

Strony rejestracji w sieci Web urzędu certyfikacji wykonują porównanie ciągów uwzględniających wielkość liter z dwiema wartościami. Jedną z wartości jest wartość sServerConfig w pliku Certdat.inc w %systemroot%\System32\Certsrv folderze na serwerze certyfikatów, a drugą wartością jest atrybut dnsHostName obiektu pkiEnrollmentService w usłudze Active Directory. Jeśli dwa ciągi nie są zgodne, w tym dopasowanie wielkości liter, rejestracja kończy się niepowodzeniem.

Rozwiązanie

Aby rozwiązać ten problem, wykonaj następujące kroki:

  1. Wyświetl atrybut dNSHostName usługi Active Directory w obiekcie pkiEnrollmentService . Ten obiekt znajduje się w następującej lokalizacji:

    CN= CertificateServer,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC= MyDomain,DC=com

    Aby wyświetlić atrybut dNSHostName , użyj pliku ADSIEdit.msc lub LDP.exe.

  2. Edytuj plik Certdat.inc, aby wartość parametru sServerConfig była taka sama jak wartość atrybutu dNSHostName, a następnie nazwa urzędu certyfikacji.

    Uwaga

    Wartość sServerConfig musi być dokładnie taka sama jak atrybut dNSHostName. Jeśli to nie jest prawda, będzie nadal wyświetlany ten sam błąd.

  3. Jeśli na przykład nazwa hosta DNS urzędu certyfikacji to server1.domain.local , a nazwa urzędu certyfikacji to MYCA, następnie upewnij się, że atrybut dNSHostName dla CN=MYCA,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC= Domain,DC=local object jest ustawiony na server1.domain.local i sServerConfig w pliku certdat.inc w folderze urzędu %systemroot%\system32\certsrv certyfikacji należy ustawić na server1.domain.local\MYCA.

  4. Poproś użytkownika, który chce zażądać ponownego uruchomienia certyfikatu w programie Internet Explorer. Dzięki temu nowe poświadczenia mogą być przekazywane do urzędu certyfikacji.

    Uwaga

    Upewnij się również, że użytkownik ma przyznane uprawnienia odczytu i rejestracji w szablonie certyfikatu, którego żąda ten użytkownik. Te uprawnienia można udzielić przy użyciu przystawki ADSIEdit lub przystawki Szablony certyfikatów.