この記事では、証明書テンプレートを読み込めず、証明書要求でテンプレートを使用できない問題の解決策を示します。
元の KB 番号: 283218
現象
証明機関 (CA) で証明書サービスが開始されると、証明書テンプレートを読み込めず、テンプレートを使用して証明書要求が失敗します。
証明書を要求するときに、テンプレートを選択して Enroll をクリックすると、"要求された証明書テンプレートはこの CA でサポートされていません。0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)" というエラーが表示されます。
原因
この動作は、認証されたユーザー グループがテンプレートのアクセス制御リスト (ACL) から削除されるために発生します。 既定では、Authenticated Users グループはテンプレート ACL 上にあります。 (証明機関オブジェクト自体は、このグループに含まれています)。Authenticated Users グループが削除されると、(エンタープライズ) CA 自体は Active Directory のテンプレートを読み取れなくなり、証明書要求が失敗する可能性があります。
解決方法
管理者が Authenticated Users グループを削除する場合は、各 CA のコンピューター アカウントをテンプレート ACL に追加し、[読み取り] に設定する必要があります。
詳細
エンティティが証明書を要求するために必要な最小限のアクセス許可:
ユーザー/マシンの要求: 読み取りおよび登録、証明機関オブジェクト: 読み取り
認証されたユーザー グループがテンプレートの ACL から削除されると、CA の起動時とテンプレートに対して証明書が要求されたときに、次のエラーが発生する可能性があります。
登録が失敗したときに発生するエラー
クライアントの場合:
[Web 登録を使用した登録] ページ:
証明書要求が拒否されました
証明書の要求が拒否されました。
要求 ID は RequestID です。 処理メッセージは、"ポリシー モジュール 0x80094800によって拒否されました。要求は、Active Directory 証明書サービス ポリシーでサポートされていない証明書テンプレートに対して行われました: Template_informationMicrosoft 管理コンソール (MMC) を使用した登録:
要求された証明書テンプレートは、この CA ではサポートされていません。
CA 情報
ポリシー モジュール 0x80094800によって拒否されました。要求は、Active Directory Certificate Services Policy: Template_informationでサポートされていない証明書テンプレートに対して行われました。要求された証明書テンプレートは、この CA ではサポートされていません。0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)
要求された証明書の種類を発行できる証明機関は使用できません。
CA の場合:
イベントの種類:警告
イベント ソース: CertificationAuthority
イベント ID: 53説明:
要求された証明書テンプレートがこの CA でサポートされていないため、Active Directory 証明書サービスによって要求要求 ID が拒否されました。0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)。 要求はTemplate_name用でした。 追加情報: ポリシー モジュール 0x80094800によって拒否されました。要求は、Active Directory 証明書サービス ポリシーでサポートされていない証明書テンプレートに対して行われました: Template_Info証明書サービスの起動時に CA でエラーが発生しました:
イベントの種類:警告イベント ソース: CertificationAuthority
イベント ID: 77
説明:
"Windows の既定" ポリシー モジュールは、次の警告をログに記録しました:template_name証明書テンプレートを読み込めませんでした。 要素が見つかりません。 0x80070490 (WIN32: 1168 ERROR_NOT_FOUND)。