W tej sekcji przedstawiono kilka typowych problemów, jakie można napotkać podczas używania przystawki Szablony certyfikatów i podczas pracy z szablonami certyfikatów. Aby uzyskać więcej informacji o rozwiązywaniu problemów z szablonami certyfikatów, zobacz temat dotyczący rozwiązywania problemów z usługami certyfikatów w usłudze Active Directory (https://go.microsoft.com/fwlink/?LinkId=89215) (strona może zostać wyświetlona w języku angielskim).

Jaki problem chcesz rozwiązać?

W przystawce Szablony certyfikatów nie są wyświetlane żadne szablony po wyświetleniu monitu o zainstalowanie nowych szablonów certyfikatów.
  • Przyczyna: Szablony certyfikatów nie zostały jeszcze zreplikowane do urzędu certyfikacji, z którym jest połączony komputer. Ta replikacja jest częścią replikacji usługi Active Directory.

  • Rozwiązanie: Poczekaj, aż szablony certyfikatów zostaną zreplikowane, a następnie ponownie otwórz przystawkę Szablony certyfikatów.

Certyfikaty nie są wystawiane klientom.
  • Przyczyna: Certyfikat wystawiający używany przez urząd certyfikacji ma krótszy pozostały okres istnienia niż pokrywający się okres szablonu skonfigurowany dla szablonu certyfikatu żądania. To oznacza, że wystawiony certyfikat natychmiast kwalifikowałby się do ponownego rejestrowania. Zamiast wystawiania i ciągłego odnawiania tego certyfikatu żądanie certyfikatu nie jest przetwarzane.

  • Rozwiązanie: Należy odnowić certyfikat wystawiający używany przez urząd certyfikacji.

Certyfikaty są wystawiane podmiotom, ale operacje kryptograficzne z użyciem tych certyfikatów kończą się niepowodzeniem.
  • Przyczyna: Dostawca usług kryptograficznych (CSP) nie jest zgodny z ustawieniami użycia kluczy lub nie istnieje.

  • Rozwiązanie: Należy upewnić się, że dostawca usług kryptograficznych został ustawiony w szablonie na dostawcę usług kryptograficznych obsługującego typ operacji kryptograficznej, do której będzie używany certyfikat.

Kontrolery domeny nie uzyskują certyfikatu kontrolerów domeny.
  • Przyczyna: Funkcja autorejestrowania została wyłączona za pomocą ustawień kontrolerów domeny Zasady grupy. Kontrolery domeny uzyskują swoje certyfikaty za pomocą funkcji autorejestrowania.

  • Rozwiązanie: Włącz autorejestrowanie dla kontrolerów domeny.

  • Przyczyna: Domyślne ustawienie Automatyczne żądanie certyfikatu dla kontrolerów domeny zostało usunięte z domyślnych zasad kontrolerów domeny.

  • Rozwiązanie: Utwórz nowe ustawienie Automatyczne żądanie certyfikatu w domyślnych zasadach kontrolerów domeny dla szablonu certyfikatu kontrolerów domeny.

Klienci nie mogą uzyskać certyfikatów za pomocą autorejestrowania.
  • Przyczyna: Uprawnienia zabezpieczeń muszą być tak ustawione, aby zezwalały zamierzonym podmiotom zarówno na rejestrowanie, jak i autorejestrowanie w szablonie certyfikatu. Do włączenia autorejestrowania są wymagane oba uprawnienia.

  • Rozwiązanie: Należy zmodyfikować poufną listę kontroli dostępu (DACL) w szablonie certyfikatu w celu udzielenia uprawnień Odczyt, Rejestrowanie się i Autorejestrowanie odpowiednim podmiotom.

Nazwy szablonów certyfikatów w przystawce są niespójne w różnych widokach lub oknach.
  • Przyczyna: Do wyświetlania szablonów certyfikatów jest używana przystawka Lokacje i usługi Active Directory. Ta przystawka może nie wyświetlać nazw tak dokładnie jak przystawka Szablony certyfikatów.

  • Rozwiązanie: Do administrowania szablonami certyfikatów należy używać przystawki Szablony certyfikatów.

Nie można wyeksportować klucza prywatnego z certyfikatów karty inteligentnej, nawet jeśli w szablonie certyfikatu jest wybrane ustawienie Zezwalaj na eksportowanie klucza prywatnego.
  • Przyczyna: Karty inteligentne nie zezwalają na eksportowanie kluczy prywatnych po ich zapisaniu w karcie inteligentnej.

  • Rozwiązanie: Brak

Szablon certyfikatu jest zmodyfikowany, ale niektóre urzędy certyfikacji nadal mają niezmodyfikowaną wersję.
  • Przyczyna: Szablony certyfikatów są replikowane między urzędami certyfikacji w ramach procesu replikacji usługi Active Directory. Ponieważ ta replikacja nie jest natychmiastowa, może wystąpić krótkie opóźnienie przed udostępnieniem nowej wersji szablonu we wszystkich urzędach certyfikacji.

  • Rozwiązanie: Należy poczekać, aż zmodyfikowany szablon zostanie zreplikowany do wszystkich urzędów certyfikacji. Aby wyświetlić szablony certyfikatów dostępne w urzędzie certyfikacji, należy użyć narzędzia wiersza polecenia Certutil.exe.

Klucz prywatny nie jest archiwizowany, mimo że wybrano opcję Archiwizuj klucz prywatny szyfrowania podmiotu i skonfigurowano urząd certyfikacji do wymagania odzyskiwania kluczy.
  • Przyczyna: Klucze prywatne nie będą archiwizowane, gdy użycie kluczy dla szablonu certyfikatu jest ustawione na wartość Popis. Jest tak dlatego, że użycie podpisu cyfrowego wymaga, aby odzyskanie klucza było niemożliwe.

  • Rozwiązanie: Brak

Funkcja autorejestrowania monituje o odnowienie certyfikatu, który nie należy do mnie, a ponadto w magazynie certyfikatów osobistych mam certyfikaty, które nie zostały tam umieszczone przeze mnie
  • Przyczyna: Gdy na komputerze administratora jest używana stacja rejestrowania kart inteligentnych do odnawiania lub zmieniania certyfikatu przechowywanego w karcie inteligentnej, certyfikat z karty inteligentnej jest kopiowany do magazynu certyfikatów prywatnych administratora. Ten certyfikat może być przetwarzany przez funkcję autorejestrowania i może monitować użytkownika o rozpoczęcie procesu odnawiania.

  • Rozwiązanie: Należy kliknąć przycisk Uruchom, aby rozpocząć proces odnawiania autorejestrowania. Ponieważ użytkownik nie jest właścicielem certyfikatu, proces autorejestrowania zakończy się po kliknięciu przycisku Uruchom. Jeśli zachodzi potrzeba usunięcia certyfikatów z magazynu certyfikatów osobistych, można to zrobić ręcznie.