V této části naleznete několik častých problémů, s nimiž se můžete setkat při použití modulu snap-in Šablony certifikátů nebo při práci s šablonami certifikátů. Další informace o řešení problémů se šablonami certifikátů naleznete v článku Poradce při potížích se službou AD CS (https://go.microsoft.com/fwlink/?LinkId=89215 (stránka může být v angličtině)).

S jakými potížemi jste se setkali?

V modulu snap-in Šablony certifikátů nejsou po výzvě k instalaci nových šablon certifikátů uvedeny žádné šablony.
  • Příčina: Šablony certifikátů dosud nebyly replikovány do certifikační autority (CA), ke které je počítač připojen. Tato replikace je součástí replikace adresáře Active Directory.

  • Řešení: Vyčkejte, až budou šablony certifikátů replikovány, a potom znovu otevřete modul snap-in Šablony certifikátů.

Certifikáty nejsou klientům vystavovány.
  • Příčina: Vystavující certifikát použitý certifikační autoritou (CA) má kratší zbývající životnost než je doba překrytí šablony nakonfigurovaná pro šablonu požadovaného certifikátu. To znamená, že vystavený certifikát by bylo možné ihned vybrat pro obnovu zápisu. Místo vystavení a průběžného obnovování tohoto certifikátu není žádost o certifikát zpracována.

  • Řešení: Obnovte vystavující certifikát použitý certifikační autoritou (CA).

Certifikáty jsou subjektům vystaveny, ale kryptografické operace s těmito certifikáty se nezdařily.
  • Příčina: Zprostředkovatel kryptografických služeb (CSP) nevyhovuje nastavení použití klíče nebo neexistuje.

  • Řešení: Zajistěte, aby byl v šabloně nastaven zprostředkovatel CSP, který podporuje typ šifrovací operace, pro kterou bude certifikát používán.

Řadiče domén nedostávají certifikát řadiče domény.
  • Příčina: Při nastavování zásad skupiny nebyla pro řadiče domén povolena funkce automatického zápisu. Řadiče domén získávají certifikáty prostřednictvím automatického zápisu.

  • Řešení: Povolte automatický zápis pro řadiče domény.

  • Příčina: Z výchozí zásady řadičů domény bylo odebráno výchozí nastavení automatické žádosti o certifikát pro řadiče domén.

  • Řešení: Vytvořte pro šablonu certifikátu řadiče domény novou automatickou žádost o certifikát ve výchozích zásadách řadičů domén.

Klienti nemohou získávat certifikáty prostřednictvím automatického zápisu.
  • Příčina: Oprávnění zabezpečení musí být nastavena tak, aby pro určité subjekty umožňovala u šablony certifikátu zápis i automatický zápis. Pro povolení automatického zápisu jsou zapotřebí obě oprávnění.

  • Řešení: Upravte volitelný seznam řízení přístupu (DACL) na šabloně certifikátu tak, aby udělovala oprávnění ke čtení, zápisu a automatickému zápisu pro požadovaný subjekt.

Názvy šablon certifikátů v modulu snap-in nejsou mezi zobrazeními nebo okny konzistentní.
  • Příčina: Pro zobrazení šablon certifikátů se používá modul snap-in Sítě a služby Active Directory. Tento modul snap-in nemusí poskytovat tak přesné zobrazení jako modul snap-in Šablony certifikátů.

  • Řešení: Pro správu šablon certifikátů používejte modul snap-in Šablony certifikátů.

Z certifikátů čipových karet nemohou být exportovány privátní klíče, i když je v šabloně certifikátu zvolena možnost Umožnit export privátního klíče.
  • Příčina: Čipové karty neumožňují export privátních klíčů, které jsou do nich zapsány.

  • Řešení: Žádné

Šablona certifikátu je změněna, ale některé certifikační autority (CA) mají stále nezměněnou verzi.
  • Příčina: Šablony certifikátů jsou mezi certifikačními autoritami replikovány prostřednictvím replikačního procesu služby Active Directory. Tyto replikace neproběhnou okamžitě, může tudíž dojít ke krátkému zpoždění, než bude nová veze šablony dostupná u všech certifikačních autorit.

  • Řešení: Vyčkejte, dokud změněná šablona nebude replikována do všech CA. K zobrazení šablon certifikátů, které jsou u CA dostupné, používejte nástroj příkazového řádku Certutil.exe.

Privátní klíč není archivován, i když je zvolena možnost Archivovat privátní klíč šifrování subjektu a CA je nakonfigurována na požadavek obnovy klíče.
  • Příčina: Privátní klíče se nebudou archivovat, je-li používání klíče na šabloně certifikátu nastaveno na možnost Podpis. Je tomu tak proto, že používání digitálního podpisu vyžaduje, aby klíč nebyl obnovitelný.

  • Řešení: Žádné

Funkce automatického zápisu mě vyzývá k obnově certifikátu, který není můj, a ve svém osobním úložišti certifikátů mám certifikáty, které jsem tam neuložil.
  • Příčina: Při obnově nebo změně certifikátu uloženého na čipové kartě pomocí terminálu pro zápis čipové karty v počítači správce je certifikát z čipové karty zkopírován do soukromého úložiště certifikátů správce. Tento certifikát může být zpracován funkcí automatického zápisu a vyzvat vás k zahájení procesu obnovy.

  • Řešení: Klikněte na tlačítko Start, aby funkce automatického zápisu zahájila proces obnovení. Protože certifikát není váš, proces automatického zápisu se po kliknutí na tlačítko Start ukončí. Chcete-li odebrat certifikáty ze svého osobního úložiště certifikátů, můžete je odstranit ručně.

Obsah