Erreur lorsqu’un utilisateur demande un certificat à partir des pages d’inscription web de l’autorité de certification : aucun modèle de certificat n’est trouvé

  • Article

Cet article fournit une aide pour résoudre l’erreur « Aucun modèle de certificat introuvable » qui se produit lorsque vous demandez des certificats à partir des pages d’inscription web de l’autorité de certification.

Produit concerné : Windows Server 2003
Numéro de la base de connaissances d’origine : 811418

Symptômes

Lorsqu’un utilisateur tente de demander un certificat à partir des pages d’inscription web de l’autorité de certification, l’utilisateur peut recevoir le message d’erreur suivant :

Aucun modèle de certificat n’a été trouvé. Vous n’êtes pas autorisé à demander un certificat à cette autorité de certification, ou une erreur s’est produite lors de l’accès à Active Directory.

Ce comportement se produit si les pages d’inscription web se trouvent dans un domaine Active Directory sur un serveur d’autorité de certification d’entreprise. Elle se produit si les pages d’inscription web se trouvent sur le même serveur ou sur un autre serveur membre.

Cause

Les pages d’inscription web de l’autorité de certification effectuent une comparaison de chaînes respectant la casse de deux valeurs. Une valeur est la valeur sServerConfig dans le fichier Certdat.inc dans le %systemroot%\System32\Certsrv dossier sur le serveur de certificats, et l’autre valeur est l’attribut dnsHostName sur l’objet pkiEnrollmentService dans Active Directory. Si les deux chaînes ne correspondent pas, y compris la correspondance de cas, l’inscription échoue.

Résolution

Pour corriger ce comportement, procédez comme suit :

  1. Affichez l’attribut dNSHostName Active Directory sur l’objet pkiEnrollmentService . Cet objet se trouve à l’emplacement suivant :

    CN= CertificateServer,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC= MyDomain,DC=com

    Pour afficher l’attribut dNSHostName , utilisez ADSIEdit.msc ou LDP.exe.

  2. Modifiez le fichier Certdat.inc afin que la valeur de sServerConfig soit identique à la valeur de l’attribut dNSHostName suivi du nom de l’autorité de certification.

    Remarque

    La valeur sServerConfig doit être exactement dans le même cas que l’attribut dNSHostName. Si ce n’est pas le cas, vous continuerez à obtenir la même erreur.

  3. Par exemple, si le nom d’hôte DNS de l’autorité de certification est server1.domain.local et que le nom de l’autorité de certification est MYCA, vérifiez ensuite que l’attribut dNSHostName pour CN=MYCA,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC= Domain,DC=local object est défini sur server1.domain.local et sServerConfig dans le fichier certdat.inc dans le %systemroot%\system32\certsrv dossier de l’autorité de certification doit être défini sur server1.domain.local\MYCA.

  4. Demandez à l’utilisateur qui souhaite demander le certificat de redémarrer Internet Explorer. Cela permet aux nouvelles informations d’identification de passer à l’autorité de certification.

    Remarque

    Assurez-vous également que l’utilisateur dispose des autorisations Lecture et Inscription sur le modèle de certificat demandé par cet utilisateur. Vous pouvez accorder ces autorisations à l’aide du composant logiciel enfichable ADSIEdit ou du composant logiciel enfichable Modèles de certificat.