この記事は、CNG または 2008 テンプレートが [高度な証明書要求テンプレート] プルダウン メニューに表示されない問題を解決するのに役立ちます。
元の KB 番号: 2015796
現象
Windows Server 2008 または Windows Server 2008 R2 サーバーで証明書 Web 登録ページを使用する場合、新しいバージョン 3 (CNG または 2008 テンプレートとも呼ばれます) は、[高度な証明書要求テンプレート] プルダウン メニューには表示されません。 その結果、CNG テンプレートを使用した Web 登録は、Web 登録方法では実行できません。
その場合は、同じテンプレートを使用して証明書を要求して正常に登録できますが、その他の登録方法を使用できます。 つまり、証明書 MMC スナップイン、スクリプト、自動登録、またはエクスポートされた要求を使用して、そのテンプレートから証明書を正常に要求できます。 この問題は、Web 登録でバージョン 3 テンプレートを選択できない場合にのみ発生します。
証明書を一括要求できないその他の原因としては、サーバーがエンタープライズ サーバーではないか、要求者が Active Directory のテンプレートに対する読み取り許可と要求許可のアクセス許可を持っていない可能性があります。
原因
この動作は仕様です。 バージョン 3 のテンプレートには、Web 登録方法が満たさない可能性がある追加の要求要件がある場合があります。
解決方法
これらの証明書には別の要求方法を使用します。 このシナリオでは、Web 登録とは別に、他のすべての要求方法が機能します。
詳細
テスト環境で広範なテストを行わないお客様のために運用環境で試行すべきではない代替手段を使用して、バージョン 3 のテンプレートを Web 登録の既定のページに表示できます。 推奨されない理由は、Web 登録ページに必要なすべてのデータを設定するために必要なコードが Web 登録ページに含まれていない可能性があるため、結果が問題のある証明書になる可能性があるためです。 以下の手順を行うことを検討するときは、この点に注意してください。 このオプションでは、msPKI-Template-Schema-Version を 3 から 2 に変更します。
さらに、msPKI-Template-Schema-Version 属性を変更すると、テンプレート キャッシュと CSP キャッシュが再読み込みされます。
ドメイン コントローラーで、 Start Run に移動し、「 AdsiEdit.msc 」と入力し、 Enter キーを押します。
AdsiEdit.msc で左側のウィンドウの ADSIEDIT ノードを右クリックし、表示されるメニューで [接続先 を選択します。
[接続の設定]ダイアログボックスで、[ポイント]セクションで[Configurationを選択し、[OKをクリックします。
Templates ストア (CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=,DC=) にドリルダウンするまで、左側のウィンドウでノードを展開します。
Web 登録ページに表示するバージョン 3 テンプレートをダブルクリックします。
下にスクロールし、 msPKI-Template-Schema-Version 属性を選択します。
msPKI-Template-Schema-Version 属性をダブルクリックし、値を 3 から 2 に変更し、OK をクリックします。
[適用] をクリックします。 これにより、テンプレートと CSP の一覧が更新されます。 環境内でサード パーティの CSP を使用する場合は、この点に注意してください。
Web 登録ページ (CA サーバーから実行されている場合) に移動し、高度な要求を使用して証明書の登録を試みます。