In diesem Abschnitt werden die bekanntesten Probleme aufgelistet, die auftreten können, wenn Sie das Zertifikatvorlagen-Snap-In verwenden oder mit Zertifikatvorlagen arbeiten. Weitere Informationen zur Problembehandlung und zum Lösen von Problemen mit Zertifikatvorlagen finden Sie im Artikel zur Problembehandlung für Active Directory-Zertifikatsdienste unter Problembehandlung für Active Directory-Zertifikatsdienste (möglicherweise in englischer Sprache).

Welches Problem ist aufgetreten?

Im Zertifikatvorlagen-Snap-In werden nach der Aufforderung zum Installieren neuer Zertifikatvorlagen keine Vorlagen aufgelistet.
  • Ursache: Die Zertifikatvorlagen wurden noch nicht an die Zertifizierungsstelle repliziert, mit der der Computer verbunden ist. Diese Replikation ist Teil der Active Directory-Replikation.

  • Lösung: Warten Sie, bis die Zertifikatvorlagen repliziert sind, und öffnen Sie dann erneut das Zertifikatvorlagen-Snap-In.

Es werden keine Zertifikate für Clients ausgestellt.
  • Ursache: Die verbleibende Gültigkeitsdauer des von der Zertifizierungsstelle verwendeten Ausstellerzertifikats ist kürzer als der für die Anforderungszertifikatvorlage konfigurierte Zeitraum. Das bedeutet, dass das ausgestellte Zertifikat sofort erneut registriert werden kann. Anstatt das Zertifikat auszustellen und es fortlaufend zu erneuern, wird die Zertifikatanforderung nicht verarbeitet.

  • Lösung: Erneuern Sie das von der Zertifizierungsstelle verwendete Ausstellerzertifikat.

Es werden Zertifikate für Antragsteller ausgestellt, aber bei kryptografischen Vorgängen mit den Zertifikaten treten Fehler auf.
  • Ursache: Der Kryptografiedienstanbieter entspricht nicht den Einstellungen der Schlüsselverwendung, oder er ist nicht vorhanden.

  • Lösung: Vergewissern Sie sich, dass Sie in der Vorlage einen Kryptografiedienstanbieter festgelegt haben, der den Typ der kryptografischen Vorgänge unterstützt, für die das Zertifikat verwendet werden soll.

Domänencontroller erhalten kein Domänencontrollerzertifikat.
  • Ursache: Die automatische Registrierung wurde mit Gruppenrichtlinieneinstellungen für Domänencontroller deaktiviert. Domänencontroller erhalten Zertifikate über die automatische Registrierung.

  • Lösung: Aktivieren Sie die automatische Registrierung für Domänencontroller.

  • Ursache: Die Domänencontroller-Standardeinstellung für automatische Zertifikatanforderungen wurde aus der Standard-Domänencontrollerrichtlinie entfernt.

  • Lösung: Erstellen Sie eine neue automatische Zertifikatanforderung in der Standard-Domänencontrollerrichtlinie für die Domänencontroller-Zertifikatvorlage.

Clients können keine Zertifikate über die automatische Registrierung erhalten.
  • Ursache: Die Sicherheitsberechtigungen müssen so festgelegt sein, dass sich die gewünschten Antragsteller mit der Zertifikatvorlage sowohl manuell als auch automatisch registrieren können. Für die automatische Registrierung sind beide Berechtigungen erforderlich.

  • Lösung: Ändern Sie die freigegebene Zugriffssteuerungsliste (Discretionary Access Control List, DACL) für die Zertifikatvorlage, um den gewünschten Antragstellern die Berechtigungen Lesen, Registrieren und Automatisch registrieren zu erteilen.

Die Namen von Zertifikatvorlagen im Snap-In werden in Ansichten oder Fenstern nicht einheitlich angezeigt.
  • Ursache: Zum Anzeigen der Zertifikatvorlagen wird Active Directory-Standorte und -Dienste verwendet. Dieses Snap-In bietet möglicherweise eine weniger genaue Anzeige als das Zertifikatvorlagen-Snap-In.

  • Lösung: Verwenden Sie zum Verwalten von Zertifikatvorlagen das Zertifikatvorlagen-Snap-In.

Der private Schlüssel aus Smartcard-Zertifikaten kann nicht exportiert werden, obwohl in der Zertifikatvorlage die Option "Exportieren von privatem Schlüssel zulassen" ausgewählt ist.
  • Ursache: Die privaten Schlüssel von Smartcards können nicht exportiert werden, wenn sie auf die Smartcard geschrieben wurden.

  • Lösung: Keine

Die Zertifikatvorlage wurde geändert, aber einige Zertifizierungsstellen haben immer noch die nicht geänderte Version
  • Ursache: Zertifikatvorlagen werden mit dem Active Directory-Replikationsprozess zwischen Zertifizierungsstellen repliziert. Da diese Replikation nicht sofort stattfindet, kann eine kurze Verzögerung auftreten, bevor die neue Version der Vorlage in allen Zertifizierungsstellen zur Verfügung steht.

  • Lösung: Warten Sie, bis die geänderte Vorlage an allen Zertifizierungsstellen repliziert ist. Verwenden Sie zum Anzeigen der in der Zertifizierungsstelle verfügbaren Zertifikatvorlagen das Befehlszeilentool Certutil.exe.

Der private Schlüssel wird nicht archiviert, obwohl die Option "Privaten Schlüssel für die Verschlüsselung archivieren" ausgewählt ist und die Zertifizierungsstelle so konfiguriert ist, dass eine Schlüsselwiederherstellung erforderlich ist.
  • Ursache: Private Schlüssel werden nicht archiviert, wenn die Schlüsselverwendung für die Zertifikatvorlage auf Signatur festgelegt ist. Der Grund ist, dass die Verwendung der digitalen Signatur vorschreibt, dass der Schlüssel nicht wiederherstellbar sein darf.

  • Lösung: Keine

Bei der automatischen Registrierung wird eine Aufforderung zum Erneuern eines Zertifikats angezeigt, das nicht mir gehört, und in meinem Speicher für persönliche Zertifikate befinden sich Zertifikate, die ich nicht dort gespeichert habe.
  • Ursache: Bei Verwendung der Smartcard-Registrierungsstelle auf dem Computer des Administrators zum Erneuern oder Ändern des auf der Smartcard gespeicherten Zertifikats wird das Zertifikat von der Smartcard in den privaten Zertifikatspeicher des Administrators kopiert. Das Zertifikat kann durch die automatische Registrierung verarbeitet werden, und Sie werden möglicherweise aufgefordert, den Erneuerungsprozess zu beginnen.

  • Lösung: Klicken Sie auf Starten, um den Erneuerungsprozess für die automatische Registrierung zu beginnen. Da es sich nicht um Ihr eigenes Zertifikat handelt, wird der automatische Registrierungsprozess beendet, wenn Sie auf Start klicken. Wenn Sie die Zertifikate aus dem Speicher für persönliche Zertifikate entfernen möchten, können Sie sie manuell löschen.

Inhaltsverzeichnis