この記事では、Windows Server 2016 以降の CA または CEP サーバーから Windows Server 2016 CA 互換の証明書テンプレートを選択できない問題の回避策について説明します。
適用対象: Windows Server 2019、Windows Server 2016
元の KB 番号: 4508802
現象
次のいずれかのシナリオを検討してください。
Windows Server 2016 ベースの証明書登録ポリシー (CEP) サーバーまたは証明書登録サーバー (CES) を構成します。
新しい Windows Server 2016 証明機関 (CA) をインストールします。
証明書テンプレートの互換性設定を構成するには、Certification Authority を windows Server 2016 をしCertificate 受信者Windows 10/ Windows Server 2016 をに設定します。
Windows 10 ユーザーが CA Web 登録ページ (CEP URL) を使用して証明書を要求しようとすると、ここで説明するように構成した証明書テンプレートは、使用可能なテンプレートとして一覧表示されません。
原因
これは、Windows Server 2016 以降のバージョンの既知の問題です。 CEP または CES サーバーは、次の互換性設定を持つクライアントにのみ証明書テンプレートを提供します。
- 証明機関: Windows Server 2012 R2 以前のバージョン
- 証明書の受信者: Windows 8.1 (またはそれ以前のバージョン) と Windows Server 2012 R2 (または以前のバージョン)
回避策
この問題を回避するには、次の手順に従ってください。
証明書テンプレートの互換性設定を次のように構成します。
証明機関: Windows Server 2012 R2
証明書の受信者: Windows 8.1 / Windows Server 2012 R2
CEP サーバーが更新されたテンプレート情報を受信するまで 30 分待ちます (または、IISReset ツールを使用してサーバーを再起動します)。
クライアント コンピューターで、コマンド プロンプト ウィンドウで次のコマンドを使用して、クライアント側の登録ポリシー キャッシュをクリアします。
certutil -f -policyserver * -policycache deleteクライアント コンピューターで、証明書をもう一度登録してみてください。 これで、テンプレートが使用できるようになります。