证书颁发机构不使用证书模板


摘要


证书服务启动时在证书颁发机构 (CA),证书模板不能加载,证书请求才会成功使用相同的模板。

更多信息


发生问题的原因从模板的访问控制列表 (ACL) 中移除经过身份验证的用户组。 经过身份验证的用户组是在 ACL 中,默认情况下模板上。 (CA 本身包含在此组中)。如果删除了经过身份验证的用户组,(企业) CA 本身将无法再阅读在 Active Directory 中的模板,因此,证书请求可能失败。 如果管理员想要将经过身份验证的用户组中删除,则必须添加到模板中的 Acl 每个 CA 的计算机帐户,并将其设置为读。 如果已从一个模板的 Acl 中删除已经过身份验证的用户,以下错误,可能会看到当 CA 启动证书请求对该模板时。

注册不成功时观察到的错误:

  • 对于客户端: 通过网页注册:
    证书申请被拒绝您的证书申请被拒绝。 有关详细信息联系您的管理员联系。
    注册通过 Microsoft 管理控制台 (MMC):
    证书申请向导: 证书颁发机构拒绝该请求。 未指定的错误。
  • CA:
    Event Type:WarningEvent Source:CertSvcEvent Category:NoneEvent ID:         53Date:08/14/2000Time:05:13:33User:N/AComputer:         MUSGRAVEDescription:Certificate Services denied request 9 because the requested certificatetemplate is not supported by this CA. 0x80094800 (-2146875392). Therequest was for TED\administrator. Additional information: Denied byPolicy Module. The request was for certificate template (<template name>)that is not supported by the Certificate Services policy. 

在 CA 的证书服务启动时的错误

Event Type:ErrorEvent Source:CertSvcEvent Category:NoneEvent ID:         78Date:08/14/2000Time:05:13:12User:N/AComputer:         MUSGRAVEDescription:The "Enterprise and Stand-alone Policy Module" Policy Module logged thefollowing error: The <template name> Certificate Template could not beloaded.  Element not found. 0x80070490 (WIN32: 1168).