Szablony wersji 3 (CNG) nie będą wyświetlane w rejestracji internetowej certyfikatu systemu Windows Server 2008 lub Windows Server 2008 R2

Ten artykuł pomaga rozwiązać problem polegający na tym, że szablony CNG lub 2008 nie są wyświetlane w menu rozwijanym Szablon żądania certyfikatu zaawansowanego.

Oryginalny numer KB: 2015796

Symptomy

W przypadku korzystania ze strony rejestracji w sieci Web certyfikatów na serwerze z systemem Windows Server 2008 lub Windows Server 2008 R2 nowa wersja 3, znana również jako szablony CNG lub 2008, nie są wyświetlane w menu rozwijanym szablonu Żądanie certyfikatu zaawansowanego. W związku z tym rejestracja internetowa przy użyciu szablonu CNG nie może odbywać się za pośrednictwem metody rejestracji internetowej.

W takim przypadku certyfikaty można zażądać i zarejestrować w programie, korzystając z tych samych szablonów, ale innych metod rejestracji. Innymi słowy, można pomyślnie zażądać certyfikatu z tego szablonu przy użyciu przystawki MMC certyfikatów, skryptu, rejestracji automatycznej lub wyeksportowanego żądania. Problem występuje tylko wtedy, gdy rejestracja internetowa nie zezwala na wybranie szablonu wersji 3.

Częstą przyczyną braku możliwości ogólnego żądania certyfikatu może być to, że serwer nie jest serwerem przedsiębiorstwa lub żądający nie ma uprawnień Zezwalaj na odczyt i żądaj zezwalania na szablon w usłudze Active Directory.

Przyczyna

Jest to celowe. Szablony w wersji 3 mogą mieć dodatkowe wymagania dotyczące żądań, których metoda rejestracji internetowej może nie spełniać.

Rozwiązanie

Użyj innej metody żądania dla tych certyfikatów. Oprócz rejestracji w Internecie wszystkie inne metody żądań działają w tym scenariuszu.

Więcej informacji

Alternatywą, która nie powinna być podejmowana w środowisku produkcyjnym dla klientów bez rozbudowanego testowania w środowisku testowym, jest dostępna możliwość wyświetlenia szablonów w wersji 3 na stronach domyślnych rejestracji internetowej. Powodem, dla którego nie zaleca się, jest to, że strony rejestracji internetowej, ponownie, mogą nie zawierać kodu niezbędnego do wypełnienia wszystkich potrzebnych danych, dlatego wynik może być problematycznym certyfikatem. Pamiętaj, aby pamiętać, biorąc pod uwagę wykonanie poniższych kroków. Ta opcja polega na zmianie wersji msPKI-Template-Schema-Version z 3 do 2.

Ponadto zmiana atrybutu msPKI-Template-Schema-Version powoduje ponowne załadowanie pamięci podręcznej szablonu i dostępnej pamięci podręcznej CSP.

1. Na kontrolerze domeny przejdź do pozycji Start, Uruchom, wpisz AdsiEdit.msc i naciśnij Enter.

2. W oknie AdsiEdit.msc kliknij prawym przyciskiem myszy węzeł ADSIEDIT w okienku po lewej stronie i wybierz polecenie Połącz z w wyświetlonym menu.

3. W oknie dialogowym Ustawienia połączenia wybierz pozycję Konfiguracja w sekcji Punkt połączenia i kliknij przycisk OK.

4. Rozwiń węzły w okienku po lewej stronie, dopóki nie przejdziesz do szczegółów magazynu Szablony (CN=Szablony certyfikatów,CN=Public Key Services,CN=Services,CN=Configuration,DC=,DC=).

5. Kliknij dwukrotnie szablon Wersja 3, który chcesz wyświetlić na stronie rejestracji internetowej.

6. Przewiń w dół i wybierz atrybut msPKI-Template-Schema-Version .

7. Kliknij dwukrotnie atrybut msPKI-Template-Schema-Version i zmień wartość z 3 na 2, a następnie kliknij przycisk OK.

8. Kliknij Zastosuj. Spowoduje to zaktualizowanie szablonu i listy CSP. Należy pamiętać o tym, jeśli używasz dostawców CSP innych firm w swoim środowisku.

9. Przejdź do strony rejestracji internetowej (jeśli została uruchomiona z serwera urzędu certyfikacji) i spróbuj zarejestrować certyfikat przy użyciu zaawansowanego żądania.