В этом разделе перечислены несколько типичных проблем, встречающихся при использовании оснастки «Шаблоны сертификатов» и при работе с шаблонами сертификатов. Дополнительные сведения о выявлении и устранении проблем с шаблонами сертификатов см. в разделе «Устранение неполадок служб сертификатов Active Directory» (https://go.microsoft.com/fwlink/?LinkId=89215).

Установите вид неполадки.

Оснастка «Шаблоны сертификатов» не содержит шаблонов после предложения установить новые шаблоны сертификатов
  • Причина: шаблоны сертификатов еще не реплицированы в центр сертификации (ЦС), к которому подключен компьютер. Эта репликация является частью репликации Active Directory.

  • Решение: подождите, пока реплицируются шаблоны сертификатов, и снова откройте оснастку «Шаблоны сертификатов».

Сертификаты не выдаются клиентам
  • Причина: сертификат поставщика, использованный центром сертификации (ЦС), имеет более короткий оставшийся срок действия, чем период продления шаблона, настроенный для шаблона сертификата запроса. Это означает, что выданный сертификат тотчас получил бы право на повторную подачу заявки. Вместо выдачи и непрерывного обновления этого сертификата запрос на сертификат не обрабатывается.

  • Решение: обновите сертификат поставщика, использованный ЦС.

Сертификаты выдаются субъектам, но действия шифрования с этими сертификатами дают сбой
  • Причина: поставщик служб шифрования (CSP) не соответствует параметрам использования ключа или не существует.

  • Решение: убедитесь, что в шаблоне установлен CSP, который поддерживает тип операции шифрования, для которого будет использоваться сертификат.

Контроллеры домена не получают сертификат контроллера домена
  • Причина: автоматическая подача заявок была отключена с помощью параметров групповой политики для контроллеров домена. Контроллеры домена получают свои сертификаты посредством автоматической подачи заявок.

  • Решение: включите автоматическую подачу заявок для контроллеров домена.

  • Причина: используемый по умолчанию параметр автоматического запроса сертификата для контроллеров домена удален из политики контроллеров домена, используемой по умолчанию.

  • Решение: создайте новый автоматический запрос сертификата в используемой по умолчанию политике контроллеров домена для шаблона сертификата контроллера домена.

Клиенты не могут получить сертификаты с помощью автоматической подачи заявок
  • Причина: разрешения безопасности должны быть установлены так, чтобы разрешать намеченным субъектам и подачу заявок, и автоматическую подачу заявок на основании шаблона сертификата. Чтобы включить автоматическую подачу заявок, требуются оба разрешения.

  • Решение: измените список управления доступом на уровне пользователей (DACL) шаблона сертификата для предоставления требуемым субъектам разрешений «Чтение», «Заявка» и «Автоматическая подача заявок».

В оснастке имена шаблонов сертификатов в представлениях и окнах отличаются
  • Причина: для просмотра шаблонов сертификатов используется оснастка «Веб-сайты и службы Active Directory». Эта оснастка не может предоставить настолько же точное отображение, как оснастка «Шаблоны сертификатов».

  • Решение: используйте для администрирования шаблонов сертификатов оснастку «Шаблоны сертификатов».

Закрытый ключ нельзя экспортировать из сертификатов смарт-карт, даже если установлен флажок «Разрешить экспорт закрытого ключа» в шаблоне сертификатов
  • Причина: смарт-карты не разрешают экспорт закрытых ключей, как только они занесены в смарт-карту.

  • Решение: нет

Шаблон сертификата изменен, но некоторые центры сертификации (ЦС) все еще имеют неизмененную версию
  • Причина: шаблоны сертификатов реплицируются между ЦС с помощью процесса репликации Active Directory. Поскольку эта репликация выполняется не мгновенно, возможна короткая задержка перед тем, как новая версия шаблона будет доступна на всех ЦС.

  • Решение: подождите, пока измененный шаблон не будет реплицирован на все ЦС. Для отображения доступных на ЦС шаблонов сертификатов используйте программу командной строки Certutil.exe.

Закрытый ключ не архивируется, даже если установлен параметр «Архивировать закрытый ключ шифрования субъекта» и в ЦС настроено требование восстановления ключа
  • Причина: закрытые ключи не будут архивироваться, если использование ключа для шаблона сертификата установлено в «Подпись». Причина в том, что использование цифровой подписи требует, чтобы ключ не мог быть восстановлен.

  • Решение: нет

Автоматическая подача заявок предлагает возобновить не принадлежащий пользователю сертификат, а в личных хранилищах сертификатов находятся сторонние сертификаты
  • Причина: при использовании на компьютере администратора станции подачи заявок смарт-карт для обновления или изменения сертификата, хранящегося на смарт-карте, сертификат со смарт-карты копируется в личное хранилище сертификатов администратора. Этот сертификат может быть обработан автоматической подачей заявок и предложен для начала процесса обновления.

  • Решение: нажмите кнопку Пуск, чтобы начать процесс обновления автоматической подачи заявок. Поскольку это чужой сертификат, процесс автоматической подачи заявок закончится после нажатия кнопки Пуск. Если нужно удалить сертификаты из личного хранилища сертификатов, это можно сделать вручную.


Содержание