Las plantillas de la versión 3 (CNG) no aparecerán en la inscripción web de certificado de Windows Server 2008 o Windows Server 2008 R2

Este artículo ayuda a corregir un problema por el que las plantillas de CNG o 2008 no aparecen en el menú desplegable De la plantilla solicitud de certificado avanzada.

Número de KB original: 2015796

Síntomas

Cuando se usa la página de inscripción web de certificados en un servidor de Windows Server 2008 o Windows Server 2008 R2, la nueva versión 3, también conocida como plantillas CNG o 2008, no aparece en el menú desplegable De la plantilla Solicitud de certificado avanzada. Como resultado, la inscripción web mediante una plantilla de CNG no se puede realizar a través del método de inscripción web.

Cuando esto ocurre, los certificados se pueden solicitar e inscribir correctamente mediante las mismas plantillas, pero otros métodos de inscripción. En otras palabras, puede solicitar correctamente un certificado de esa plantilla mediante el complemento MMC de certificados, el script, la inscripción automática o la solicitud exportada. El problema solo se produce con la inscripción web que no permite que la plantilla versión 3 esté disponible para seleccionarla.

Otras causas frecuentes de no poder cubrir la solicitud de un certificado puede ser que el servidor no sea un servidor Enterprise o que el solicitante no tenga permisos Permitir y Solicitar permiso de lectura en la plantilla de Active Directory.

Causa

Este comportamiento se debe al diseño. Las plantillas de la versión 3 pueden tener requisitos de solicitud adicionales que el método de inscripción web puede no cumplir.

Solución

Use otro método de solicitud para estos certificados. Aparte de la inscripción web, todos los demás métodos de solicitud funcionan en este escenario.

Más información

Una alternativa, que no se debe intentar en producción para los clientes sin realizar pruebas exhaustivas en un entorno de prueba, está disponible que permitirá que las plantillas de la versión 3 aparezcan en las páginas predeterminadas de inscripción web. La razón por la que no se recomienda es que las páginas de inscripción web, de nuevo, no contengan el código necesario para que el certificado rellene todos los datos necesarios, por lo que el resultado puede ser un certificado problemático. Asegúrese de tenerlo en cuenta al considerar realizar los pasos siguientes. Esta opción es modificar msPKI-Template-Schema-Version de 3 a 2.

Además, modificar el atributo msPKI-Template-Schema-Version da como resultado una recarga de la memoria caché de plantillas y la caché de CSP disponibles.

1. En el controlador de dominio, vaya a Inicio, Ejecutar, escriba AdsiEdit.msc y presione Entrar.

2. En AdsiEdit.msc , haga clic con el botón derecho en el nodo ADSIEDIT del panel izquierdo y seleccione Conectar a en el menú que aparece.

3. En el cuadro de diálogo Configuración de conexión, seleccione Configuración en la sección Punto de conexión y haga clic en Aceptar.

4. Expanda los nodos del panel izquierdo hasta que haya explorado en profundidad el almacén de plantillas (CN=Plantillas de certificado,CN=Servicios de clave pública,CN=Services,CN=Configuration,DC=,DC=).

5. Haga doble clic en la plantilla versión 3 que desea que aparezca en la página de inscripción web.

6. Desplácese hacia abajo y seleccione el atributo msPKI-Template-Schema-Version .

7. Haga doble clic en el atributo msPKI-Template-Schema-Version y cambie el valor de 3 a 2 y haga clic en Aceptar.

8. Haga clic en Aplicar. Esto actualiza la plantilla y la lista csp. Tenga esto en cuenta si usa CSP de terceros en su entorno.

9. Vaya a la página de inscripción web (si se ejecutó desde el servidor de CA) e intente inscribir el certificado mediante una solicitud avanzada.