Freigeben über

Von Windows Server 2016 oder höher basierenden CAs oder CEP-Servern können keine zertifikatkompatiblen Zertifikatvorlagen von Windows Server 2016 oder höher ausgewählt werden.

Dieser Artikel enthält eine Problemumgehung für das Problem, das windows Server 2016 zertifizierungskompatible Zertifikatvorlagen nicht von Windows Server 2016 oder höher basierten CAs oder CEP-Servern ausgewählt werden kann.

Gilt für: Windows Server 2019, Windows Server 2016
Ursprüngliche KB-Nummer: 4508802

Problembeschreibung

Berücksichtigen Sie eines der folgenden Szenarien:

  • Sie konfigurieren einen Windows Server 2016-basierten Zertifikatregistrierungsrichtlinienserver (CEP) oder zertifikatregistrierungsserver (CES).

  • Sie installieren eine neue Windows Server 2016-Zertifizierungsstelle (CA).

  • Sie konfigurieren die Kompatibilitätseinstellungen einer Zertifikatvorlage, indem Sie die Zertifizierungsstelle auf Windows Server 2016 und den Zertifikatempfänger auf Windows 10 /Windows Server 2016 festlegen.

    Screenshot der Kompatibilitätseinstellungen einer Zertifikatvorlage mit der auf Windows Server 2016 und Windows 10 festgelegten Kompatibilitätsstufe.

Wenn Windows 10-Benutzer versuchen, Zertifikate mithilfe der Webregistrierungsseite der Zertifizierungsstelle (die CEP-URL) anzufordern, wird die Zertifikatvorlage, die Sie wie hier beschrieben konfiguriert haben, nicht als verfügbare Vorlage aufgeführt.

Ursache

Dies ist ein bekanntes Problem in Windows Server 2016 und höheren Versionen. Der CEP- oder CES-Server stellt Zertifikatvorlagen nur für Clients bereit, die über die folgenden Kompatibilitätseinstellungen verfügen:

  • Zertifizierungsstelle: Windows Server 2012 R2 oder eine frühere Version
  • Zertifikatempfänger: Windows 8.1 (oder eine frühere Version) und Windows Server 2012 R2 (oder eine frühere Version)

Problemumgehung

Gehen Sie folgendermaßen vor, um dieses Problem zu umgehen:

  1. Konfigurieren Sie die Kompatibilitätseinstellungen der Zertifikatvorlage wie folgt:

    • Zertifizierungsstelle: Windows Server 2012 R2

    • Zertifikatempfänger: Windows 8.1 / Windows Server 2012 R2

      Screenshot der Kompatibilitätseinstellungen einer Zertifikatvorlage mit der Kompatibilitätsstufe, die auf Windows Server 2012 R2 und Windows 8.1 festgelegt ist.

  2. Warten Sie 30 Minuten, bis der CEP-Server die aktualisierten Vorlageninformationen empfängt (oder verwenden Sie das IISReset-Tool, um den Server neu zu starten).

  3. Deaktivieren Sie auf dem Clientcomputer den clientseitigen Registrierungsrichtliniencache mithilfe des folgenden Befehls in einem Eingabeaufforderungsfenster:

     certutil -f -policyserver * -policycache delete

  4. Versuchen Sie auf dem Clientcomputer, das Zertifikat erneut zu registrieren. Die Vorlage sollte jetzt verfügbar sein.