Обновлено 10.06.2016
CA Active Directory
Всем привет, как то давно я настроил для тестирования токенов центр сертификации, и забыл про него так как все работало как часы. Сегодня ко мне обратился сотрудник, с тем что у него в веб форме выпуска сертификатов выскакивает ошибка:
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-01
Я сразу подумал, что тупит служба CA и зашел на сервер ее перезапустить. Перезапуск не помог и я начал смотреть в просмотре событий ошибки, первое на что наткнулся это ошибка.
В модуле политики «Стандартная Windows» метод «Initialize» возвратил ошибку. Объект или свойство не найдено. Возвращен код состояния 0x80092004 (-2146885628). Политика служб сертификации Active Directory не содержит действительных шаблонов сертификатов.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-02
еще были получены ошибки.
Сертификат (#0) служб сертификации Active Directory IssueCrmCA не существует в хранилище сертификатов CN=NTAuthCertificates,CN=Public Key Services,CN=Services в контейнере конфигурации Active Directory. Репликация каталога невозможна.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-03
И зайдя в сам Центр сертификации в Шаблоны сертификатов выдавалась ошибка Не удалось загрузить информацию шаблона элемент не найден.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-04
Первый раз я такое видел, и начал читать тичнет. Вроде на рисовалось решение. Делаем резервную копию наших ключей и выданных сертификатов. Щелкаем правым кликом вашему CA и выбираем все задачи-Архивация ЦС.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-05
Откроется мастер архивации центра сертификации. Жмем Далее.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-06
Ставим галки Закрытый ключ и сертификат ЦС и База данных сертификатов. Указываем каталог для резервного копирования.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-07
Ставим пароль на архив.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-08
Готово. Все бэкап у нас есть.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-09
В итоге получится один файл.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-10
Теперь нам нужно удалить центр сертификации, идем в диспетчер серверов и нажимаете удалить роль.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-11
Видим, нашу роль
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-12
Снимаем галку и жмем далее.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-13
Нажимаем Удалить.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-14
После удаления нажимаем закрыть и перезагружаемся.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-15
На этом мы заканчиваем первую часть, продолжение читайте Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-2 часть.
Материал сайта pyatilistnik.org
- Remove From My Forums
-
Вопрос
-
Используется Windows 2003 Server R2, MS Exchange 2007 ST SP1, ISA 2006 ST SP1. Изучил всю ветку http://social.technet.microsoft.com/Forums/ru-RU/ocses2007ru/thread/526992ba-97e3-46bc-a469-0066b25a7d0b указанные там решения проблемы не работают. После выполнения командлета создания сертификата
new-exchange
certificate -generaterequest -includeautodiscover -privatekeyexportable $true -subjectname «CN=lmachine.ru» -domainname lmachine.ru, lmashine.ru, exchange-server.velmash-s.local, exchange-server -friendlyname «exchange lmachine» -path c:certvelmash12345.reqThumbprint Services Subject
———- ——— ——-
1EC75538B76817F2320F3383C77608D20F839A32 ….. CN=lmachine.ruПолучил файл с указанным именем. Далее согласно инструкции:
1. С компьютера, для которого запрашивается сертификат, зайдите на СА через интернет-обозреватель по ссылке: https://<CA-komp-name>/CertSrv .
2. Далее идем по ссылкам: «Запрос сертификата» — «Расширенный запрос сертификата» — «Создать и выдать запрос к этому ЦС».
Далее предполагается в веб-интерфейсе выбрать Шаблон сертификата : «Веб-Сервер». На этом этапе и возникает ошибка, которая выражается в том, что шаблон выбрать нельзя:«Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory.»
В поле «Шаблон сертификата» присутствует надпись «(Шаблоны не найдены)», то есть не только шаблон «Веб-сервер», но и какие-либо другие шаблоны отсутствуют. При этом в оснастке «Центр сертификации»->»Шаблоны сертификатов» сами шаблоны присутствуют. Однако, при выполнении запроса «Центр сертификации»->»Выдать новый запрос»->выбор файла запроса сертификата — выдает ошибку вида:
«В запросе отсутствует информация о шаблоне сертификата. 0x80094801 (-2146875391)
Модуль политики отверг запрос 0x80094801, Запрос не содержит расширения шаблона сертификата или атрибута запроса CertificateTemplate.»-
Перемещено
11 марта 2012 г. 12:51
forum merge (От:Exchange Server 2007)
-
Перемещено
Ответы
-
Сделал по этой статье.
_ttp://theadminsguide.net/2012/08/29/no-certificate-templates-could-be-found-you-do-not-have-permission-to-request-a-certificate-from-this-ca/
+последним действием сопоставил созданное приложение с сайтом CertSrv (CertSrv — основные настройки — пул приложений — выбрать — CertSrv)
-
Помечено в качестве ответа
Petko KrushevMicrosoft contingent staff, Moderator
20 августа 2013 г. 10:28
-
Помечено в качестве ответа
-
Имя опубликованного узла должно точно совпадать с внутренним полным именем сервера, и это же имя должно являться основным именем субъекта в сертификате локального IIS (как и первое имя в списке SAN). У вас, возможно, сертификат был выдан для ВНЕШНЕГО имени. Пересоздайте сертификат.
-
Помечено в качестве ответа
Daniil KhabarovModerator
10 марта 2010 г. 7:48
-
Помечено в качестве ответа
| title | description | ms.date | author | ms.author | manager | audience | ms.topic | ms.prod | localization_priority | ms.reviewer | ms.custom | ms.technology |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Can’t request certificate from web enrollment pages |
Provides help to solve an error that occurs when you request certificates from CA Web enrollment pages. |
9/24/2021 |
Deland-Han |
delhan |
dcscontentpm |
itpro |
troubleshooting |
windows-server |
medium |
kaushika, shawnrab, spat |
sap:certificates-and-public-key-infrastructure-pki, csstroubleshoot |
windows-server-security |
Error when a user requests certificate from CA web enrollment pages: No certificate templates could be found
This article provides help to solve an error «No certificate templates could be found» that occurs when you request certificates from CA web enrollment pages.
Applies to: Windows Server 2003
Original KB number: 811418
Symptoms
When a user tries to request a certificate from the certification authority (CA) web enrollment pages, the user may receive the following error message:
No certificate templates could be found. You do not have permission to request a certificate from this CA, or an error occurred while accessing the Active Directory.
This behavior occurs if the Web enrollment pages are in an Active Directory domain on an Enterprise CA server. It occurs whether the web enrollment pages are on the same server or on a different member server.
Cause
The CA Web enrollment pages perform a case-sensitive string comparison of two values. One value is the sServerConfig value in the Certdat.inc file in the %systemroot%System32Certsrv folder on the certificate server, and the other value is the dnsHostName attribute on the pkiEnrollmentService object in Active Directory. If the two strings do not match, including the case match, the enrollment fails.
Resolution
To correct this behavior, follow these steps:
-
View the Active Directory dNSHostName attribute on the pkiEnrollmentService object. This object is in the following location:
CN= CertificateServer,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC= MyDomain,DC=com
To view the dNSHostName attribute, use ADSIEdit.msc or LDP.exe.
-
Edit the Certdat.inc file so that the value for sServerConfig is the same as the value for the dNSHostName attribute followed by the Certificate Authority Name.
[!NOTE]
The sServerConfig value must be in the same exact case as the dNSHostName attribute. If this is not true, you will continue to get the same error. -
For example, if the DNS hostname for the Certification Authority is server1.domain.local and name of the Certification Authority is MYCA, then ensure the dNSHostName attribute for CN=MYCA,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC= Domain,DC=local object is set to server1.domain.local and sServerConfig in the certdat.inc file in the
%systemroot%system32certsrvfolder on the Certification Authority should be set to server1.domain.localMYCA. -
Have the user who wants to request the certificate restart Internet Explorer. This permits the new credentials to pass to the CA.
[!NOTE]
Also make sure that the user is granted Read and Enroll permissions on the certificate template which that user is requesting. You can grant these permissions either by using the ADSIEdit snap-in or the Certificate Templates snap-in.
Ошибка “Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory” обычно связана с отсутствием прав доступа к шаблонам сертификатов в службе удостоверений (Certification Authority – CA) на сервере Active Directory.
Чтобы решить эту проблему, выполните следующие действия:
- Убедитесь, что у пользователя есть права на запрос сертификата.
- Убедитесь, что права на чтение для объектов “Шаблоны сертификатов” на сервере CA установлены для пользователя.
- Убедитесь, что права на чтение для объектов “Публикация в AD DS” на сервере CA установлены для пользователя.
- Проверьте, что пользователь имеет права на чтение и запись в контейнер Active Directory.
Если все перечисленные выше действия были выполнены, но проблема остается, попробуйте повторно запустить службу удостоверений на сервере Active Directory.
Если это не поможет, обратитесь к администратору службы удостоверений на сервере Active Directory для получения дополнительной помощи в настройке прав доступа.
Шаблон сертификата не найден. У вас нет прав для запроса сертификата в этом ЦС, или при доступе к Active Directory произошла ошибка.
Я сразу подумал, что служба CA глупая, и пошел на сервер, чтобы перезапустить ее. Перезапуск не помог, и я начал искать в средстве просмотра событий ошибок, первое, с чем я столкнулся, это ошибка.
В стандартном модуле политики Windows метод Initialize возвратил ошибку. Объект или собственность не найдены. Код состояния вернул 0x80092004 (-2146885628). Политика служб сертификации Active Directory не содержит действительных шаблонов сертификатов.
было получено несколько ошибок.
Проблема служб сертификации Active Directory Сертификат CRMCA (№ 0) не существует в хранилище сертификатов CN = NTAuthCertificates, CN = Public Key Services, CN = Services в контейнере конфигурации Active Directory. Репликация каталога невозможна.
И зайдя в сам центр сертификации в шаблонах сертификатов, ошибка Не удалось загрузить информационный элемент шаблона не обнаружен.
Когда я впервые увидел это, я начал читать. Вроде бы решение составлено. Мы делаем резервную копию наших ключей и выданных сертификатов. Щелкните ЦС правой кнопкой мыши и выберите Все задачи – Хранилище ЦС.
Откроется мастер резервного копирования центра сертификации. Нажмите “Далее.
Установите флажки «Закрытый ключ», «Сертификат ЦС» и «База данных сертификатов». Указываем каталог для бэкапа.
Ставим пароль на архив.
Готовый. У нас есть все резервные копии.
В итоге получится файл.
Теперь нам нужно удалить центр сертификации, перейти в диспетчер серверов и нажать «Удалить роль.
Посмотрим на нашу роль
Снимите флажок и щелкните.
Щелкните Удалить.
После удаления нажмите «Закрыть» и перезапустите.
Мы удалили ЦС и перезагрузились. Теперь переустановим центр сертификации.
Напомню, что такой же ЦС стоит на Windows Server 2008R2, но я уверен, что решение подойдет и для 2012 R2.
Откройте Диспетчер серверов и щелкните Добавить роль.
Выбор служб сертификации Active Directory.
Дальше.
Ставим галки в Центре сертификации и Службе регистрации в Центре сертификации.
Оставьте тип Enterprise.
Подчиненный CA.
Настроим использование существующего приватного ключа.
Выбираем наш старый ключ и жмем Далее.
Выбираем каталоги установки.
Установить.
После установки нажмите «Закрыть.
Откройте оснастку центра сертификации.
Переходим к шаблонам сертификатов и видим, что шаблоны теперь появились.
Теперь, если вы зайдете в конфигурацию схемы, вы увидите, что наш ЦС появился
Теперь нам нужно восстановить все выданные и отозванные сертификаты, перейти в оснастку Certification Authority и нажать на все задачи – CA Restore
Появится предупреждение о том, что служба будет остановлена, нажмите ок.
Откроется мастер восстановления центра сертификации, нажмите «Далее.
Выбрав наш архив
Готовый.
И запускаем наш CA.
Если вы обнаружите, что запрос не содержит информации о шаблоне сертификата в Windows, эта статья предоставит вам способы решения этой проблемы.
Когда вы пытаетесь подписать или отправить CSR в Windows с помощью центра сертификации (CA), она должна быть успешно завершена. Но в некоторых случаях вы можете получить ошибку процессора запроса сертификата. Когда он появится, вы можете увидеть следующее сообщение об ошибке:
Запрос не содержит информации о шаблоне сертификата. 0x80094801 (-2146875391) Отказано модулем политики 0x80094801, запрос не содержит расширения шаблона сертификата или атрибута запроса шаблона сертификата.
Эта проблема возникает в любой версии Windows, особенно в версиях Windows Server или Enterprise.
Что вызывает ошибку отсутствия информации о шаблоне сертификата?
Если вы неоднократно сталкиваетесь с этой проблемой, это может быть из-за следующих причин:
- Нет встроенного шаблона сертификата: если в файле запроса на подпись сертификата нет встроенного шаблона, вы столкнетесь с этой проблемой.
- Неправильный метод: ваш метод подписания или выдачи сертификата может иметь некоторые проблемы.
- Не указано имя шаблона: Если вы не укажете имя шаблона, вы получите эту ошибку.
Как я могу исправить запрос, не содержащий информации о шаблоне сертификата в Windows?
Прежде чем приступить к нашим рекомендуемым методам, мы предлагаем вам сделать следующее:
- Убедитесь, что обновления безопасности вашего сервера Windows или ПК не ожидаются.
- Убедитесь, что в файле CSR, который вы пытаетесь подписать, нет проблем.
Убедившись в вышеизложенном, следуйте этим методам, чтобы исправить ошибку отсутствия информации о шаблоне сертификата:
1. Укажите шаблон сертификата
- Откройте меню «Пуск» и введите cmd.
- Щелкните правой кнопкой мыши командную строку и выберите «Запуск от имени администратора».
- Введите следующую команду, заменив нужные строки своими, и нажмите Enter для ее выполнения:
certreq -submit -config "Your_Existing_Config_Name"-attrib "CertificateTemplate:Your_Existing_Template_Name"your_CSR_File.csr
Обязательно замените параметры. Например, ваш может выглядеть следующим образом: certreq -submit -config "MyIssuingCA"-attrib "CertificateTemplate:CA11-SUN-SSL-C3-1"CertRequest.csr
Вы также можете запустить команду без указания CSR-файла. В этом случае появится всплывающее окно с предложением выбрать файл CSR.
Если вы хотите просмотреть список шаблонов Windows CA, вы можете использовать следующую команду:
certutil -CATemplates -Config MachineCAName
2. Попробуйте подписать без информации о шаблоне
- Откройте командную строку от имени администратора, как показано ранее.
- Введите следующую команду и нажмите Enter :
certreq -submit -attrib CertificateTemplate:Webserver - Теперь выберите файл CSR, когда появится всплывающее окно с просьбой сделать это, и нажмите OK.
- Сохраните сертификат, когда он попросит сохранить его.
После сохранения вы должны найти файл сертификата в том месте, где вы его сохранили. Теперь вы можете использовать его по-своему.
Эти методы помогут вам подписать файл CSR, избегая ошибки, когда запрос не содержит информации о шаблоне сертификата на ПК или сервере Windows.
Вы также можете избежать этой проблемы, не попробовав ее из командной строки. В этом случае вам нужно будет указать шаблон в графическом интерфейсе центра сертификации вручную. Но лучше всего использовать способ командной строки, упомянутый в этой статье. Это сэкономит ваше время.
В этом посте вы узнали, как решить, что запрос не содержит информации об ошибке шаблона сертификата. Если у вас есть лучшие идеи для решения этой проблемы, не стесняйтесь сообщить нам об этом в поле для комментариев.