使用英语阅读

通过


无法从 Windows Server 2016 或更高版本的 CA 或 CEP 服务器中选择与 Windows Server 2016 兼容的证书模板

本文提供了一种解决方法,说明无法从 Windows Server 2016 或更高版本的 CA 或 CEP 服务器中选择与 Windows Server 2016 兼容的证书模板的问题。

适用于: Windows Server 2019、Windows Server 2016
原始 KB 数: 4508802

现象

请考虑以下任一方案:

  • 配置基于 Windows Server 2016 的证书注册策略(CEP)服务器或证书注册服务器(CES)。

  • 安装新的 Windows Server 2016 证书颁发机构(CA)。

  • 通过将证书颁发机构设置为 Windows Server 2016将证书收件人设置为 Windows 10/Windows Server 2016 来配置证书模板的兼容性设置。

    证书模板的兼容性设置的屏幕截图,其中显示了设置为 Windows Server 2016 和 Windows 10 的兼容级别。

当 Windows 10 用户尝试使用 CA Web 注册页(CEP URL)请求证书时,此处配置的证书模板未列为可用模板。

原因

这是 Windows Server 2016 及更高版本中的已知问题。 CEP 或 CES 服务器仅向具有以下兼容性设置的客户端提供证书模板:

  • 证书颁发机构:Windows Server 2012 R2 或更低版本
  • 证书收件人:Windows 8.1(或早期版本)和 Windows Server 2012 R2(或早期版本)

解决方法

若要解决此问题,请执行以下步骤:

  1. 按如下所示配置证书模板的兼容性设置:

    • 证书颁发机构Windows Server 2012 R2

    • 证书收件人Windows 8.1 / Windows Server 2012 R2

      证书模板的兼容性设置的屏幕截图,其中显示了设置为 Windows Server 2012 R2 和 Windows 8.1 的兼容级别。

  2. 等待 30 分钟,CEP 服务器接收更新的模板信息(或使用 IISReset 工具重启服务器)。

  3. 在客户端计算机上,在命令提示符窗口中使用以下命令清除客户端注册策略缓存:

     certutil -f -policyserver * -policycache delete
    
  4. 在客户端计算机上,尝试再次注册证书。 模板现在应可用。