In questa sezione vengono elencati alcuni problemi comuni che possono verificarsi quando si utilizzano i modelli di certificato o lo snap-in Modelli di certificato. Per ulteriori informazioni su come risolvere i problemi relativi ai modelli di certificato, vedere la pagina relativa alla risoluzione dei problemi di Servizi certificati Active Directory (https://go.microsoft.com/fwlink/?LinkId=89215).

Problema riscontrato

Nello snap-in Modelli di certificato non viene elencato alcun modello dopo che è stato richiesto se si desidera installare nuovi modelli di certificato.
  • Causa: i modelli di certificato non sono stati ancora replicati nell'Autorità di certificazione (CA) a cui è connesso il computer. Tale replica viene eseguita nel corso della replica di Active Directory.

  • Soluzione: attendere che i modelli di certificato vengano replicati e quindi riaprire lo snap-in Modelli di certificato.

I certificati non vengono rilasciati ai client.
  • Causa: il periodo di validità restante del certificato di rilascio utilizzato dall'Autorità di certificazione (CA) è più breve del periodo coincidente configurato per il modello di certificato della richiesta. In questo modo il certificato rilasciato sarebbe immediatamente pronto per essere registrato di nuovo. Per evitare di rilasciare e rinnovare continuamente il certificato, la relativa richiesta non viene elaborata.

  • Soluzione: rinnovare il certificato di rilascio utilizzato dalla CA.

I certificati vengono rilasciati ai soggetti, ma le operazioni di crittografia eseguite con tali certificati hanno esito negativo.
  • Causa: il provider del servizio di crittografia (CSP, Cryptographic Service Provider) non corrisponde alle impostazioni di utilizzo chiave o non esiste.

  • Soluzione: verificare di aver impostato nel modello un CSP che supporti il tipo di operazione di crittografia per cui verrà utilizzato il certificato.

I controller di dominio non ottengono un certificato di controller di dominio.
  • Causa: la registrazione automatica è stata disattivata utilizzando le impostazioni dei Criteri di gruppo per i controller di dominio. I controller di dominio ottengono i rispettivi certificati tramite registrazione automatica.

  • Soluzione: attivare la registrazione automatica per i controller di dominio.

  • Causa: l'impostazione Richiesta automatica certificati predefinita per i controller di dominio è stata rimossa dal Criterio controller di dominio predefiniti.

  • Soluzione: creare una nuova richiesta di certificato automatica nel Criterio controller di dominio predefiniti per il modello di certificato del controller di dominio.

I client non riescono a ottenere certificati tramite la registrazione automatica.
  • Causa: è necessario impostare le autorizzazioni di sicurezza appropriate per consentire ai soggetti desiderati di eseguire la registrazione e la registrazione automatica per il modello di certificato. Per attivare la registrazione automatica, sono necessarie entrambe le autorizzazioni.

  • Soluzione: modificare l'elenco di controllo di accesso discrezionale (DACL, Discretionary Access Control List) nel modello di certificato in modo da concedere le autorizzazioni di lettura, registrazione e registrazione automatica per i soggetti desiderati.

I nomi dei modelli di certificato nello snap-in non corrispondono da una visualizzazione o finestra all'altra.
  • Causa: per visualizzare i modelli di certificato viene utilizzato Siti e servizi di Active Directory. È possibile che questo snap-in non offra una visualizzazione accurata come quella di Modelli di certificato.

  • Soluzione: utilizzare lo snap-in Modelli di certificato per amministrare i modelli di certificato.

Non è possibile esportare la chiave privata dai certificati smart card anche dopo aver selezionato nel modello di certificato l'opzione Rendi la chiave privata esportabile.
  • Causa: le smart card non consentono l'esportazione delle chiavi private dopo che queste sono state scritte nella smart card.

  • Soluzione: nessuna.

Il modello di certificato è stato modificato, ma per alcune Autorità di certificazione (CA) esiste ancora la versione non modificata.
  • Causa: i modelli di certificato vengono replicati tra CA nel corso del processo di replica di Active Directory. Poiché la replica non è immediata, è possibile che si verifichi un leggero ritardo prima che la nuova versione del modello sia disponibile in tutte le CA.

  • Soluzione: attendere che il modello modificato venga replicato in tutte le CA. Per visualizzare i modelli di certificato disponibili nella CA, utilizzare lo strumento da riga di comando Certutil.exe.

La chiave privata non viene archiviata benché sia stata selezionata l'opzione Archivia chiave privata di crittografia del soggetto e la CA sia stata configurata in modo da richiedere il recupero della chiave.
  • Causa: le chiavi private non vengono archiviate se l'utilizzo chiave per il modello di certificato è impostato su Firma. Per poter utilizzare le firme digitali infatti la chiave non deve essere recuperabile.

  • Soluzione: nessuna

La registrazione automatica richiede se si desidera rinnovare un certificato di cui non si è proprietari e nell'archivio dei certificati personali sono contenuti certificati inseriti da qualcun altro.
  • Causa: quando si utilizza la stazione di registrazione di smart card nel computer dell'amministratore per rinnovare o modificare il certificato archiviato nella smart card, tale certificato viene copiato nell'archivio dei certificati personali dell'amministratore. È possibile che il certificato venga elaborato tramite registrazione automatica e che venga chiesto se si desidera avviare il processo di rinnovo.

  • Soluzione: fare clic su Avvia per avviare il processo di rinnovo tramite registrazione automatica. Poiché non si è proprietari del certificato, il processo di registrazione automatica terminerà dopo aver fatto clic su Avvia. Se si desidera rimuovere i certificati dall'archivio dei certificati personali, è possibile eliminarli manualmente.

Argomenti della Guida