无法从 Windows Server 2016 或更高版本的 CA 或 CEP 服务器中选择与 Windows Server 2016 兼容的证书模板
本文提供了一种解决方法,说明无法从 Windows Server 2016 或更高版本的 CA 或 CEP 服务器中选择与 Windows Server 2016 兼容的证书模板的问题。
适用于: Windows Server 2019、Windows Server 2016
原始 KB 数: 4508802
请考虑以下任一方案:
配置基于 Windows Server 2016 的证书注册策略(CEP)服务器或证书注册服务器(CES)。
安装新的 Windows Server 2016 证书颁发机构(CA)。
通过将证书颁发机构设置为 Windows Server 2016,将证书收件人设置为 Windows 10/Windows Server 2016 来配置证书模板的兼容性设置。
当 Windows 10 用户尝试使用 CA Web 注册页(CEP URL)请求证书时,此处配置的证书模板未列为可用模板。
这是 Windows Server 2016 及更高版本中的已知问题。 CEP 或 CES 服务器仅向具有以下兼容性设置的客户端提供证书模板:
- 证书颁发机构:Windows Server 2012 R2 或更低版本
- 证书收件人:Windows 8.1(或早期版本)和 Windows Server 2012 R2(或早期版本)
若要解决此问题,请执行以下步骤:
按如下所示配置证书模板的兼容性设置:
证书颁发机构: Windows Server 2012 R2
证书收件人: Windows 8.1 / Windows Server 2012 R2
等待 30 分钟,CEP 服务器接收更新的模板信息(或使用 IISReset 工具重启服务器)。
在客户端计算机上,在命令提示符窗口中使用以下命令清除客户端注册策略缓存:
certutil -f -policyserver * -policycache delete
在客户端计算机上,尝试再次注册证书。 模板现在应可用。