証明機関が証明書テンプレートを使用できない

この記事では、証明書テンプレートを読み込めず、同じテンプレートを使用して証明書要求が失敗する問題の解決策を示します。

適用対象: Windows Server 2012 R2
元の KB 番号: 283218

概要

証明機関 (CA) で Certificate Services が起動すると、証明書テンプレートを読み込めなくなり、同じテンプレートを使用して証明書要求が失敗します。

詳細

この動作は、認証されたユーザー グループがテンプレートのアクセス制御リスト (ACL) から削除されるために発生します。 既定では、Authenticated Users グループはテンプレート ACL 上にあります。 (CA 自体はこのグループに含まれています)。Authenticated Users グループが削除されると、(エンタープライズ) CA 自体は Active Directory 内のテンプレートを読み取ることができなくなり、証明書要求が失敗する可能性があります。

管理者が Authenticated Users グループを削除する場合は、各 CA のコンピューター アカウントをテンプレート ACL に追加し、[読み取り] に設定する必要があります。

認証されたユーザーがテンプレートの ACL から削除されている場合、CA の起動時とテンプレートに対する証明書の要求時に、次のエラーが発生する可能性があります。

登録が失敗したときに発生するエラー

• クライアントの場合:

  Web ページによる登録:

  証明書要求が拒否されました
  証明書の要求が拒否されました。
  詳細については、管理者にお問い合わせください。 Microsoft 管理コンソール (MMC) による登録: 証明書要求ウィザード: 証明機関が要求を拒否しました。 指定されていないエラー。

• CA の場合:

  イベントの種類 : 警告
  イベント ソース:CertSvc
  イベント カテゴリ:None
  イベント ID: 53
  Date: <DateTime>
  時刻: <DateTime>
  ユーザー: N/A
  コンピューター: MUSGRAVE
  説明:
  証明書サービスは、要求された証明書テンプレートがこの CA でサポートされていないため、要求 9 を拒否しました。0x80094800 (-2146875392)。 要求は TED\administrator 用でした。 追加情報: ポリシー モジュールによって拒否されました。 要求は、Certificate Services ポリシーでサポートされていない証明書テンプレート (<テンプレート名>) 用でした。

証明書サービスの起動時に CA でエラーが発生する

イベントの種類 : エラー
イベント ソース:CertSvc
イベント カテゴリ:None
イベント ID: 78
Date: <DateTime>
時刻: <DateTime>
ユーザー: N/A
コンピューター: MUSGRAVE
説明:
"エンタープライズおよびスタンドアロン ポリシー モジュール" ポリシー モジュールでは、次のエラーが記録されました。 <テンプレート名> 証明書テンプレートを読み込めませんでした。 要素が見つかりません。 0x80070490 (WIN32: 1168)。