环境
Windows Server 2008 sp1 Xeon CPU E5430 @ 2.66 GHz 16.0 GB Ram 64 位操作系统 1TB 磁盘空间
服务器角色:SQL Server 其他信息:加入域,登录用户域管理员
问题
导致问题的步骤:
使用 mmc 管理单元“证书”创建计算机证书,方法是右键单击“root\Personal”树下的“证书”文件夹,然后单击“所有任务”->“申请新证书”。出现证书注册窗口,验证您已连接到网络并且已登录到域。然后单击下一步,这将打开一个窗口,其中显示以下问题:
“证书类型不可用”
“您这次无法申请证书,因为没有可用的证书类型。如果您需要证书,请联系您的管理员。”
寻求解决方案
在此服务器上创建证书,以实现与 MSSQL 服务器的 SSL 连接。
答案1
您正在遵循正确的步骤(http://support.microsoft.com/kb/316898/en-us),但错误可能意味着您在域中没有企业证书颁发机构 (CA),或者 CA 由于某种原因不接受新的证书请求。也可能是您安装的 CA 不允许生成“计算机”证书类型。这可以在 CA 配置中检查。
解决方案取决于您是否已经设置并配置了企业 CA。如果没有,则需要创建一个(Microsoft technet 网站上有指导,但并不简单),或者使用其他方式生成自签名 SSL 证书,例如其中一个可免费下载的工具。
答案2
在我的设置中,我有 4 个 DC,并且需要 LDAPS 证书。我成功地在安装了 CA 的 DC 上创建了证书,但是在其它 DC 上,像您一样,我收到了“证书类型不可用”错误。
问题是这些 DC 不信任 CA。我将证书添加到默认域策略中的受信任根 CA,然后在 DC 上运行 gpupdate,它就起作用了
答案3
尽管它们可以自动运行,并且请求用户证书也没有问题,但我在手动请求计算机证书时也遇到了同样的问题。
我通过更改 IIS 目录安全设置以仅允许匿名访问 PKI 虚拟目录来解决了该问题!
答案4
我最近也遇到了同样的问题。假设您正在运行 AD CS,要解决此问题,请删除 GPO 中的 Active Directory 注册策略设置,指示客户端在何处找到证书注册服务器,然后重新添加相同的设置:
计算机配置 > 策略 > Windows 设置 > 安全设置 > 公钥策略 > 证书服务客户端 - 证书注册策略
编辑此设置:
在证书注册策略列表下,删除 Active Directory 注册策略。然后重新添加它并将其设置为默认策略。在无法查看证书模板的客户端上执行 GPUPDATE,然后重试。