Errore quando un utente richiede il certificato dalle pagine di registrazione Web della CA: non è stato trovato alcun modello di certificato

  • Articolo

Questo articolo fornisce assistenza per risolvere un errore "Non è stato trovato alcun modello di certificato" che si verifica quando si richiedono certificati dalle pagine di registrazione Web della CA.

Si applica a: Windows Server 2003
Numero KB originale: 811418

Sintomi

Quando un utente tenta di richiedere un certificato alle pagine di registrazione Web dell'autorità di certificazione (CA), l'utente potrebbe ricevere il messaggio di errore seguente:

Non è stato possibile trovare modelli di certificato. Non si dispone dell'autorizzazione per richiedere un certificato a questa CA o si è verificato un errore durante l'accesso ad Active Directory.

Questo comportamento si verifica se le pagine di registrazione Web si trovano in un dominio di Active Directory in un server CA aziendale. Si verifica se le pagine di registrazione Web si trovano nello stesso server o in un server membro diverso.

Causa

Le pagine di registrazione Web ca eseguono un confronto tra stringhe con distinzione tra maiuscole e minuscole di due valori. Un valore è il valore sServerConfig nel file Certdat.inc nella %systemroot%\System32\Certsrv cartella del server di certificati e l'altro valore è l'attributo dnsHostName nell'oggetto pkiEnrollmentService in Active Directory. Se le due stringhe non corrispondono, inclusa la corrispondenza tra maiuscole e minuscole, la registrazione non riesce.

Risoluzione

Per correggere questo comportamento, seguire questa procedura:

  1. Visualizzare l'attributo dNSHostName di Active Directory nell'oggetto pkiEnrollmentService . Questo oggetto si trova nel percorso seguente:

    CN= CertificateServer,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC= MyDomain,DC=com

    Per visualizzare l'attributo dNSHostName , usare ADSIEdit.msc o LDP.exe.

  2. Modificare il file Certdat.inc in modo che il valore di sServerConfig corrisponda al valore dell'attributo dNSHostName seguito dal nome dell'autorità di certificazione.

    Nota

    Il valore sServerConfig deve trovarsi nello stesso caso esatto dell'attributo dNSHostName. Se questo non è vero, si continuerà a ottenere lo stesso errore.

  3. Ad esempio, se il nome host DNS per l'autorità di certificazione è server1.domain.local e il nome dell'autorità di certificazione è MYCA, Assicurarsi quindi che l'attributo dNSHostName per CN=MYCA,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC= Domain,DC=local object sia impostato su server1.domain.local e sServerConfig nel file certdat.inc nella cartella dell'Autorità %systemroot%\system32\certsrv di certificazione deve essere impostato su server1.domain.local\MYCA.

  4. Chiedere all'utente che vuole richiedere il certificato di riavviare Internet Explorer. In questo modo le nuove credenziali possono essere passate alla CA.

    Nota

    Assicurarsi inoltre che all'utente siano concesse le autorizzazioni di lettura e registrazione per il modello di certificato richiesto dall'utente. È possibile concedere queste autorizzazioni usando lo snap-in ADSIEdit o lo snap-in Modelli di certificato.