ここでは、証明書テンプレート スナップインの使用時、または証明書テンプレートの操作時に発生する可能性のある一般的な問題のいくつかを示します。証明書テンプレートに関する問題のトラブルシューティングと解決方法については、Active Directory 証明書サービスのトラブルシューティングに関するページ (https://go.microsoft.com/fwlink/?LinkId=89215 (英語の可能性あり)) を参照してください。

どのような問題がありますか?

新しい証明書テンプレートのインストールを求めるメッセージが表示された後に、証明書テンプレート スナップインにテンプレートが一覧表示されません。
  • 原因 : コンピューターが接続している証明機関 (CA) に、まだ証明書テンプレートがレプリケートされていません。このレプリケーションは Active Directory レプリケーションの一部です。

  • 解決方法 : 証明書テンプレートがレプリケートされるまで待ち、証明書テンプレート スナップインを再度開きます。

証明書がクライアントに発行されません。
  • 原因 : 証明機関 (CA) が使用する発行元の証明書について、その残りの有効期間が、要求する証明書テンプレートに対して設定されているテンプレート重複期間よりも短くなっています。これは、発行される証明書が、発行後直ちに再登録の対象となることを意味します。この証明書が発行されて永続的に更新されるのを避けるために、証明書の要求は処理されません。

  • 解決方法 : CA が使用する発行元の証明書を更新します。

証明書がサブジェクトに発行されますが、それらの証明書を使用した暗号化操作が失敗します。
  • 原因 : 暗号化サービス プロバイダー (CSP) がキー使用法の設定と一致していないか、または CSP が存在しません。

  • 解決方法 : テンプレート内の CSP を調べ、その証明書が使用される暗号化操作の種類をサポートしている CSP に設定しているかを確認します。

ドメイン コントローラーがドメイン コントローラー証明書を取得しません。
  • 原因 : ドメイン コントローラーでグループ ポリシーの設定を使用したために、自動登録が無効になっています。ドメイン コントローラーは自動登録によって証明書を取得します。

  • 解決方法 : ドメイン コントローラーの自動登録を有効にします。

  • 原因 : ドメイン コントローラーの既定の自動証明書要求設定が、既定のドメイン コントローラー ポリシーから削除されています。

  • 解決方法 : ドメイン コントローラー証明書テンプレートの既定のドメイン コントローラー ポリシーに、新しい自動証明書要求を作成します。

クライアントが自動登録を通じて証明書を取得できません。
  • 原因 : 対象となるサブジェクトが証明書テンプレートに基づいて登録と自動登録の両方を実行できるように、セキュリティ アクセス許可を設定する必要があります。自動登録を有効にするには両方のアクセス許可が必要です。

  • 解決方法 : 証明書テンプレートの随意アクセス制御リスト (DACL) を変更して、読み取り、登録、および自動登録のアクセス許可を必要なサブジェクトに与えます。

スナップインに表示される証明書テンプレートの名前が、ビューまたはウィンドウで矛盾しています。
  • 原因 : 証明書テンプレートの表示に Active Directory サイトとサービスが使用されています。このスナップインの表示は、証明書テンプレート スナップインの表示ほど正確ではない場合があります。

  • 解決方法 : 証明書テンプレート スナップインを使用して証明書テンプレートを管理します。

秘密キーをスマート カード証明書からエクスポートできません。証明書テンプレートで [秘密キーのエクスポートを許可する] をオンにしていても同様です。
  • 原因 : いったん秘密キーがスマート カードに書き込まれると、スマート カードからの秘密キーのエクスポートはできなくなります。

  • 解決方法 : なし

証明書テンプレートを変更しましたが、変更前のテンプレートがまだ一部の証明機関 (CA) に残っています。
  • 原因 : CA 間の証明書テンプレートのレプリケーションは、Active Directory のレプリケーション処理によって行われます。このレプリケーションは即時に完了するものではないため、新しいテンプレートがすべての CA で使用できるようになるまでにわずかな遅延が発生することがあります。

  • 解決方法 : 変更したテンプレートがすべての CA にレプリケートされるまで待ちます。CA で使用できる証明書テンプレートを表示するには、Certutil.exe コマンド ライン ツールを使用します。

[サブジェクトの秘密キーをアーカイブする] オプションをオンにして、キーの回復を要求するように CA を構成しましたが、秘密キーがアーカイブされていません。
  • 原因 : 証明書テンプレートのキー使用法を [署名] に設定していると、秘密キーがアーカイブされません。これは、デジタル署名を使用する場合はキーを回復できないようにする必要があるためです。

  • 解決方法 : なし

自動登録により、自分のものではない証明書を更新するよう求めるメッセージが表示されます。また、格納した覚えのない証明書が自分の個人証明書ストアに格納されています。
  • 原因 : 管理者のコンピューターで、スマート カード登録ステーションを使用して、スマート カードに格納されている証明書を更新または変更すると、スマート カードからの証明書が管理者の個人証明書ストアにコピーされます。この証明書が自動登録によって処理され、更新処理の開始を求めるメッセージが表示される場合があります。

  • 解決方法 : [開始] をクリックして、自動登録の更新処理を開始します。証明書は自分のものではないため、[開始] をクリックした後に自動登録処理は終了します。自分の個人証明書ストアから証明書を削除する場合は、それらを手動で削除できます。


目次