Erro quando um usuário solicita certificado de páginas de registro da Web da AC: nenhum modelo de certificado pôde ser encontrado

  • Artigo

Este artigo fornece ajuda para resolver um erro "Nenhum modelo de certificado pode ser encontrado" que ocorre quando você solicita certificados de páginas de registro da Web da AC.

Aplica-se a: Windows Server 2003
Número de KB original: 811418

Sintomas

Quando um usuário tenta solicitar um certificado das páginas de registro da Web da autoridade de certificação (AC), o usuário pode receber a seguinte mensagem de erro:

Nenhum modelo de certificado pôde ser encontrado. Você não tem permissão para solicitar um certificado dessa AC ou ocorreu um erro ao acessar o Active Directory.

Esse comportamento ocorrerá se as páginas de registro da Web estiverem em um domínio do Active Directory em um servidor de AC enterprise. Ocorre se as páginas de registro da Web estão no mesmo servidor ou em um servidor membro diferente.

Motivo

As páginas de registro da Web da AC executam uma comparação de cadeia de caracteres com diferenciação de maiúsculas e minúsculas de dois valores. Um valor é o valor sServerConfig no arquivo Certdat.inc na pasta no %systemroot%\System32\Certsrv servidor de certificado e o outro valor é o atributo dnsHostName no objeto pkiEnrollmentService no Active Directory. Se as duas cadeias de caracteres não corresponderem, incluindo a correspondência de caso, o registro falhará.

Resolução

Para corrigir esse comportamento, siga estas etapas:

  1. Exiba o atributo dNSHostName do Active Directory no objeto pkiEnrollmentService . Este objeto está no seguinte local:

    CN= CertificateServer,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC= MyDomain,DC=com

    Para exibir o atributo dNSHostName , use ADSIEdit.msc ou LDP.exe.

  2. Edite o arquivo Certdat.inc para que o valor de sServerConfig seja o mesmo que o valor do atributo dNSHostName seguido pelo Nome da Autoridade de Certificado.

    Observação

    O valor sServerConfig deve estar no mesmo caso exato que o atributo dNSHostName. Se isso não for verdade, você continuará recebendo o mesmo erro.

  3. Por exemplo, se o nome de host DNS da Autoridade de Certificação for server1.domain.local e o nome da Autoridade de Certificação for MYCA, em seguida, verifique se o atributo dNSHostName para CN=MYCA,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC= Domain,DC=local é definido como server1.domain.local e sServerConfig no arquivo certdat.inc na %systemroot%\system32\certsrv pasta na Autoridade de Certificação deve ser definido como server1.domain.local\MYCA.

  4. Tenha o usuário que deseja solicitar que o certificado reinicie a Internet Explorer. Isso permite que as novas credenciais passem para a AC.

    Observação

    Verifique também se o usuário recebe permissões de leitura e registro no modelo de certificado que esse usuário está solicitando. Você pode conceder essas permissões usando o snap-in ADSIEdit ou o snap-in Modelos de Certificado.