Error cuando un usuario solicita un certificado desde páginas de inscripción web de CA: No se encontró ninguna plantilla de certificado

  • Artículo

En este artículo se proporciona ayuda para resolver un error "No se pudo encontrar ninguna plantilla de certificado" que se produce cuando se solicitan certificados desde páginas de inscripción web de CA.

Se aplica a: Windows Server 2003
Número de KB original: 811418

Síntomas

Cuando un usuario intenta solicitar un certificado a las páginas de inscripción web de entidad de certificación (CA), el usuario puede recibir el siguiente mensaje de error:

No se encontró ninguna plantilla de certificado. No tiene permiso para solicitar un certificado de esta entidad de certificación o se produjo un error al acceder a Active Directory.

Este comportamiento se produce si las páginas de inscripción web están en un dominio de Active Directory en un servidor de CA empresarial. Se produce si las páginas de inscripción web están en el mismo servidor o en otro servidor miembro.

Causa

Las páginas de inscripción web de CA realizan una comparación de cadenas que distinguen mayúsculas de minúsculas de dos valores. Un valor es el valor de sServerConfig en el archivo Certdat.inc de la %systemroot%\System32\Certsrv carpeta del servidor de certificados y el otro valor es el atributo dnsHostName en el objeto pkiEnrollmentService de Active Directory. Si las dos cadenas no coinciden, incluida la coincidencia de mayúsculas y minúsculas, se produce un error en la inscripción.

Solución

Para corregir este comportamiento, siga estos pasos:

  1. Vea el atributo dNSHostName de Active Directory en el objeto pkiEnrollmentService . Este objeto se encuentra en la siguiente ubicación:

    CN= CertificateServer,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC= MyDomain,DC=com

    Para ver el atributo dNSHostName , use ADSIEdit.msc o LDP.exe.

  2. Edite el archivo Certdat.inc para que el valor de sServerConfig sea el mismo que el valor del atributo dNSHostName seguido del nombre de entidad de certificación.

    Nota:

    El valor de sServerConfig debe estar en el mismo caso exacto que el atributo dNSHostName. Si esto no es cierto, seguirá obteniendo el mismo error.

  3. Por ejemplo, si el nombre de host DNS de la entidad de certificación es server1.domain.local y el nombre de la entidad de certificación es MYCA, a continuación, asegúrese de que el atributo dNSHostName para CN=MYCA,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC= Domain,DC=local object se establece en server1.domain.local y sServerConfig en el archivo certdat.inc de la carpeta de la %systemroot%\system32\certsrv entidad de certificación debe establecerse en server1.domain.local\MYCA..

  4. Haga que el usuario que quiere solicitar el certificado reinicie Internet Explorer. Esto permite que las nuevas credenciales pasen a la CA.

    Nota:

    Asegúrese también de que al usuario se le conceden permisos de lectura e inscripción en la plantilla de certificado que el usuario solicita. Puede conceder estos permisos mediante el complemento ADSIEdit o el complemento Plantillas de certificado.