本章節列出您在使用 [憑證範本] 嵌入式管理單元,或使用憑證範本時可能會遇到的一些常見問題。如需疑難排解和解決憑證範本問題的相關資訊,請參閱<Active Directory 憑證服務疑難排解>(
您遇到什麼問題?
[憑證範本] 嵌入式管理單元不會在提示安裝新憑證範本之後列出任何範本。
-
原因:憑證範本尚未複寫到電腦所連接的憑證授權單位 (CA)。此複寫動作是 Active Directory 複寫的一部分。
-
解決方案:等待憑證範本進行複寫,然後重新開啟 [憑證範本] 嵌入式管理單元。
憑證不會發行給用戶端。
-
原因:憑證授權單位 (CA) 使用之發佈憑證的剩餘存留期,比針對要求憑證範本設定的範本重疊期間短。這表示發行的憑證會立即需要重新註冊。系統不會發行並持續更新此憑證,反而是不處理憑證要求。
-
解決方案:更新 CA 使用的發佈憑證。
憑證會發行給主體,但是那些憑證的加密編譯操作失敗
-
原因:加密編譯服務提供者 (CSP) 與金鑰使用方法設定不相符或不存在。
-
解決方案:確定您在範本中將 CSP 設定為支援針對憑證使用的加密編譯操作類型。
網域控制站不會取得網域控制站憑證
-
原因:已使用網域控制站的「群組原則」設定停用自動註冊。網域控制站會透過自動註冊取得憑證。
-
解決方案:啟用網域控制站的自動註冊。
-
原因:網域控制站的預設「自動憑證要求」設定已從「預設網域控制站」原則中移除。
-
解決方案:針對網控制站憑證範本,在「預設網域控制站」原則中建立新的「自動憑證要求」。
用戶端無法透過自動註冊取得憑證
-
原因:必須設定安全性權限,才能允許想要的主體註冊和自動註冊於憑證範本。必須同時有兩個權限才能啟用自動註冊。
-
解決方案:修改憑證範本上的判別存取控制清單 (DACL),對您要的主體授與「讀取」、「註冊」及「自動註冊」權限。
在檢視或視窗之間,嵌入式管理單元中的憑證範本名稱不一致
-
原因:使用 Active Directory 站台和服務檢視憑證範本。此嵌入式管理單元無法提供與「憑證範本」一樣精確的顯示。
-
解決方案:使用 [憑證範本] 嵌入式管理單元管理憑證範本。
即使已在憑證範本中選取 [允許匯出私密金鑰],仍無法從智慧卡憑證匯出私密金鑰。
-
原因:智慧卡不允許私密金鑰在寫入智慧卡之後匯出。
-
解決方案:無
憑證範本已經過修改,但是某些憑證授權單位 (CA) 仍有尚未修改的版本。
-
原因:憑證範本在 CA 之間以 Active Directory 複寫處理進行複寫。因為此複寫不是瞬間的,因此可能會在短暫的延遲後,才能使用所有 CA 上新版本的範本。
-
解決方案:等待修改的範本複寫到所有 CA。若要顯示 CA 上可用的憑證範本,請使用 Certutil.exe 命令列工具。
即使已選取 [封存主體的加密私密金鑰] 選項並設定 CA 要求金鑰復原,仍然未封存私密金鑰。
-
原因:當憑證範本的金鑰使用方法設定為「簽章」時,不會封存私密金鑰。這是因為數位簽章使用方式需要金鑰是不可復原的。
-
解決方案:無
自動註冊提示我更新不屬於我的憑證,而且我的「個人憑證存放區」中有不是我所放的憑證。
-
原因:使用系統管理員電腦上的智慧卡註冊站更新或變更儲存在智慧卡的憑證時,智慧卡中的憑證會複製到系統管理員的私密憑證存放區。此憑證可能會由自動註冊來處理並提示您開始進行更新處理。
-
解決方案:按一下 [開始] 以開始自動註冊更新處理。因為憑證不是您的,按一下 [開始] 之後自動註冊處理會結束。如果您要從「個人」憑證存放區中移除憑證,可以手動刪除。