Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird ein Problem behoben, bei dem die CNG- oder 2008-Vorlagen nicht im Pulldownmenü "Erweiterte Zertifikatanforderungsvorlage" angezeigt werden.
Ursprüngliche KB-Nummer: 2015796
Symptome
Wenn Sie die Zertifikatwebregistrierungsseite auf einem Windows Server 2008- oder Windows Server 2008 R2-Server verwenden, wird die neue Version 3, auch als CNG- oder 2008-Vorlagen bezeichnet, nicht im Pulldownmenü der erweiterten Zertifikatanforderungsvorlage angezeigt. Daher kann die Webregistrierung mit einer CNG-Vorlage nicht über die Webregistrierungsmethode erfolgen.
In diesem Fall können Zertifikate mit denselben Vorlagen, aber anderen Registrierungsmethoden erfolgreich angefordert und registriert werden. Mit anderen Worten, Sie können mithilfe des MMC-Snap-Ins, skripts, der automatischen Registrierung oder der exportierten Anforderung erfolgreich ein Zertifikat aus dieser Vorlage anfordern. Das Problem tritt nur auf, wenn die Webregistrierung nicht zulässt, dass die Version 3-Vorlage zur Auswahl verfügbar ist.
Häufige andere Ursachen dafür, dass ein Zertifikat nicht decken kann, ist möglicherweise, dass der Server kein Enterprise-Server ist, oder der Anforderer verfügt nicht über Leseberechtigungen für die Vorlage in Active Directory.
Ursache
Dieses Verhalten ist beabsichtigt. Version 3-Vorlagen verfügen möglicherweise über zusätzliche Anforderungsanforderungen, die die Webregistrierungsmethode möglicherweise nicht erfüllt.
Lösung
Verwenden Sie eine andere Anforderungsmethode für diese Zertifikate. Abgesehen von der Webregistrierung funktionieren alle anderen Anforderungsmethoden in diesem Szenario.
Weitere Informationen
Eine Alternative, die nicht in der Produktion für Kunden ohne umfangreiche Tests in einer Testumgebung versucht werden sollte, ist verfügbar, sodass die Version 3-Vorlagen auf den Standardseiten der Webregistrierung angezeigt werden können. Der Grund, warum es nicht empfohlen wird, ist, dass die Webregistrierungsseiten möglicherweise nicht den Code enthalten, der für das Zertifikat erforderlich ist, um alle erforderlichen Daten aufzufüllen, und daher kann das Ergebnis ein problematisches Zertifikat sein. Achten Sie darauf, dass Sie dies berücksichtigen sollten, wenn Sie die nachstehenden Schritte in Betracht ziehen. Diese Option besteht darin, die msPKI-Template-Schema-Version von 3 bis 2 zu ändern.
Darüber hinaus führt das Ändern des attributs msPKI-Template-Schema-Version zu einem erneuten Laden des Vorlagencaches und des verfügbaren CSP-Caches.
Wechseln Sie auf Ihrem Domänencontroller zu "Start", "Ausführen", geben Sie "AdsiEdit.msc" ein, und drücken Sie die EINGABETASTE.
Klicken Sie in AdsiEdit.msc im linken Bereich mit der rechten Maustaste auf den ADSIEDIT-Knoten , und wählen Sie "Verbinden mit " im daraufhin angezeigten Menü aus.
Wählen Sie im Dialogfeld "Verbindungseinstellungen" im Abschnitt "Verbindungspunkt" die Option "Konfiguration" aus, und klicken Sie auf "OK".
Erweitern Sie die Knoten im linken Bereich, bis Sie einen Drilldown zum Vorlagenspeicher ausgeführt haben (CN=Zertifikatvorlagen,CN=Public Key Services,CN=Services,CN=Configuration,DC=,DC=).
Doppelklicken Sie auf die Vorlage "Version 3", die auf der Webregistrierungsseite angezeigt werden soll.
Scrollen Sie nach unten, und wählen Sie das Attribut "msPKI-Template-Schema-Version" aus.
Doppelklicken Sie auf das Attribut "msPKI-Template-Schema-Version ", und ändern Sie den Wert von 3 in 2 , und klicken Sie auf "OK".
Klicken Sie auf Anwenden. Dadurch wird die Vorlage und die CSP-Liste aktualisiert. Beachten Sie dies, wenn Sie CSPs von Drittanbietern in Ihrer Umgebung verwenden.
Wechseln Sie zu Ihrer Webregistrierungsseite (wenn sie von Ihrem Zertifizierungsstellenserver ausgeführt wurde), und versuchen Sie, das Zertifikat mithilfe einer erweiterten Anforderung zu registrieren.