本部分列出了使用证书模板管理单元或使用证书模板时可能遇到的一些常见问题。有关解答和解决证书模板问题的详细信息,请参阅“Active Directory 证书服务疑难解答”(
您遇到了什么问题?
证书模板管理单元在提示安装新的证书模板后,不会列出任何模板。
-
原因:尚未将证书模板复制到与计算机连接的证书颁发机构 (CA)。此复制操作是 Active Directory 复制的一部分。
-
解决方案:等待证书模板进行复制,并接着重新打开该证书模板管理单元。
不会将证书颁发给客户端。
-
原因:证书颁发机构 (CA) 使用的即将颁发的证书的剩余生存期比为申请证书模板配置的模板重叠期更短。这意味着,已颁发的证书适合立即重新注册。如果不颁发和继续续订此证书,系统就不会处理证书申请。
-
解决方案:续订 CA 使用的即将颁发的证书。
将证书颁发给使用者,但使用这些证书的加密操作将失败。
-
原因:加密服务提供程序 (CSP) 与密钥用法设置不匹配或该程序不存在。
-
解决方案:确认您将模板中的 CSP 设置为支持该证书将用于的加密操作类型的 CSP。
域控制器不包含域控制器证书。
-
原因:已使用域控制器的组策略设置禁用了自动注册功能。域控制器将通过自动注册获取其证书。
-
解决方案:对域控制器启用自动注册。
-
原因:已从默认域控制器策略中删除了域控制器的默认自动证书申请设置。
-
解决方案:在域控制器证书模板的默认域控制器策略中创建新的自动证书申请。
客户端无法通过自动注册功能获取证书。
-
原因:必须将安全权限设置为允许预期使用者在证书模板中注册和自动注册。启用自动注册时,需要使用两种权限。
-
解决方案:修改证书模板中的随机访问控制列表 (DACL),以便为所需的使用者授予读取、注册和自动注册权限。
管理单元中的证书模板名称在视图或窗口之间不一致。
-
原因:Active Directory 站点和服务用于查看证书模板。此管理单元无法提供与证书模板一样准确的显示。
-
解决方案:使用证书模板管理单元管理证书模板。
无法从智能卡证书中导出私钥,即使在证书模板中选择了“允许导出私钥”也是如此。
-
原因:智能卡不允许在将私钥写入智能卡后导出私钥。
-
解决方案:无
修改了证书模板,但某些证书颁发机构 (CA) 仍然具有未修改的版本。
-
原因:使用 Active Directory 复制进程在 CA 之间复制证书模板。由于此复制不是瞬间完成的,因此可能会在一段很短的延迟后,所有 CA 中才会有新版本的模板。
-
解决方案:等到将已修改的模板复制到所有的 CA。若要显示 CA 上可用的证书模板,请使用 Certutil.exe 命令行工具。
未存档私钥,即使我选择了“对使用者的加密私钥进行存档”选项并将 CA 配置为需要密钥恢复也是如此。
-
原因:将证书模板的密钥用法设置为签名时,不会对私钥进行存档。这是因为数字签名用法要求密钥是不可恢复的。
-
解决方案:无
自动注册功能将提示用户续订不属于用户的证书,并且用户将证书置于未放在此处的用户的个人证书存储中。
-
原因:使用管理员计算机上的智能卡注册站续订或更改智能卡中存储的证书时,系统会将智能卡中的证书复制到管理员的专用证书存储中。此证书可由自动注册功能进行处理,并且会提示您开始续订过程。
-
解决方案:单击“开始”以开始自动注册续订过程。由于证书不是您的,因此自动注册过程将在您单击“开始”后结束。如果要从个人证书存储中删除证书,则可以手动删除这些证书。