In deze sectie wordt een aantal veelvoorkomende problemen besproken die kunnen optreden wanneer u de module Certificaatsjablonen gebruikt of met certificaatsjablonen werkt. Raadpleeg het onderwerp over probleemoplossing voor Active Directory Certificate Services (https://go.microsoft.com/fwlink/?LinkId=89215) voor meer informatie over het oplossen van problemen met certificaatsjablonen (pagina is mogelijk Engelstalig).

Wat is er aan de hand?

De module Certificaatsjablonen geeft geen sjablonen weer na de prompt om nieuwe certificaatsjablonen te installeren.
  • Oorzaak: De certificaatsjablonen zijn nog niet naar de CA (certificeringsinstantie) gerepliceerd waarmee de computer is verbonden. Deze replicatie maakt deel uit van Active Directory-replicatie.

  • Oplossing: Wacht tot de certificaatsjablonen zijn gerepliceerd en open de module Certificaatsjablonen opnieuw.

Certificaten worden niet verleend aan clients.
  • Oorzaak: Het verleende certificaat dat door de CA (certificeringsinstantie) wordt gebruikt, heeft een kortere resterende levensduur dan de overlappingsperiode van de sjabloon die voor de aangevraagde certificaatsjabloon is geconfigureerd. Dit betekent dat het verleende certificaat onmiddellijk in aanmerking komt voor opnieuw inschrijven. In plaats van dit certificaat steeds te verlenen en vernieuwen, wordt de certificaataanvraag niet verwerkt.

  • Oplossing: Vernieuw het verleende certificaat dat door de CA wordt gebruikt.

Certificaten worden verleend aan certificaathouders, maar cryptografische bewerkingen met deze certificaten mislukken.
  • Oorzaak: De CSP (cryptographic service provider) komt niet overeen met instellingen voor sleutelgebruik of bestaat niet.

  • Oplossing: Bevestig dat u de CSP in de sjabloon hebt ingesteld op een provider die het type cryptografische bewerking ondersteunt waarvoor het certificaat zal worden gebruikt.

Domeincontrollers verkrijgen geen domeincontrollercertificaat.
  • Oorzaak: Automatische inschrijving is uitgeschakeld omdat er groepsbeleidsinstellingen voor domeincontrollers worden gebruikt. Domeincontrollers verkrijgen hun certificaten via automatische inschrijving.

  • Oplossing: Schakel automatische inschrijving in voor domeincontrollers.

  • Oorzaak: De standaardinstelling Automatische certificaataanvraag voor domeincontrollers is verwijderd uit het standaardbeleid voor domeincontrollers.

  • Oplossing: Maak een nieuwe automatische certificaataanvraag in het standaardbeleid voor domeincontrollers voor de certificaatsjabloon Domeincontroller.

Clients kunnen geen certificaten verkrijgen via automatische inschrijving.
  • Oorzaak: Er moeten beveiligingsmachtigingen worden ingesteld, zodat toekomstige certificaathouders zich kunnen inschrijven en automatisch kunnen worden ingeschreven voor de certificaatsjabloon. Beide machtigingen zijn vereist om automatische inschrijving te activeren.

  • Oplossing: Wijzig de DACL (Discretionary Access Control List) op de certificaatsjabloon zodat machtigingen voor Lezen, Inschrijven en Automatisch inschrijven worden toegekend aan de gewenste certificaathouders.

Namen van certificaatsjablonen in de module komen niet overeen tussen weergaven of vensters.
  • Oorzaak: Active Directory - sites en services wordt gebruikt om de certificaatsjablonen weer te geven. Deze module biedt misschien niet dezelfde accurate weergave als de module Certificaatsjablonen.

  • Oplossing: Gebruik de module Certificaatsjablonen om certificaatsjablonen te beheren.

De persoonlijke sleutel kan niet worden geëxporteerd van smartcardcertificaten, zelfs wanneer de optie De persoonlijke sleutel exporteerbaar maken is geselecteerd in de certificaatsjabloon.
  • Oorzaak: Smartcards staan de export van persoonlijke sleutels niet toe wanneer deze naar de smartcard zijn geschreven.

  • Oplossing: Geen

De certificaatsjabloon is gewijzigd, maar sommige CA's (certificeringsinstanties) bevatten nog de ongewijzigde versie.
  • Oorzaak: Certificaatsjablonen worden gerepliceerd tussen CA's via het Active Directory-replicatieproces. Aangezien deze replicatie niet onmiddellijk wordt uitgevoerd, ondervindt u misschien een korte vertraging voordat de nieuwe versie van de sjabloon op alle CA's beschikbaar is.

  • Oplossing: Wacht tot de gewijzigde sjabloon naar alle CA's is gerepliceerd. Gebruik het opdrachtregelprogramma Certutil.exe om de beschikbare certificaatsjablonen van de CA weer te geven.

De persoonlijke sleutel wordt niet gearchiveerd, hoewel ik de optie Persoonlijke versleutelingssleutel van de houder archiveren heb geselecteerd en de CA heb geconfigureerd om sleutelherstel te vereisen.
  • Oorzaak: Persoonlijke sleutels worden niet gearchiveerd wanneer het sleutelgebruik voor de certificaatsjabloon is ingesteld op Handtekening. Het gebruik van de digitale handtekening vereist namelijk dat de sleutel niet kan worden hersteld.

  • Oplossing: Geen

Ik word door automatische inschrijving gevraagd om een certificaat te vernieuwen dat niet van mij is, en er staan certificaten in mijn persoonlijke certificaatarchief die ik er niet heb geplaatst.
  • Oorzaak: Wanneer u het inschrijvingsstation van de smartcard op de computer van de beheerder gebruikt om het certificaat van de smartcard te vernieuwen of wijzigen, wordt het certificaat gekopieerd van de smartcard naar het persoonlijke certificaatarchief van de beheerder. Dit certificaat wordt misschien verwerkt door automatische inschrijving en vraagt u het vernieuwingsproces te starten.

  • Oplossing: Klik op Start om het vernieuwingsproces van automatische inschrijving te starten. Aangezien het niet uw certificaat betreft, stopt de automatische inschrijving wanneer u op Start klikt. Als u de certificaten uit uw persoonlijke certificaatarchief wilt halen, moet u ze handmatig verwijderen.

Inhoudsopgave