我正在尝试使用 Windows Server 2008 Enterprise 从属 CA 基于智能卡用户模板创建自定义证书模板。我使用从属 CA,因为根 CA 不在域中。以下是我目前的步骤:
- 我复制了智能卡用户模板作为我尝试创建的新模板
- 我设置了适当的有效期和CSP
我认为这就是我需要做的全部事情,因为我的组织不使用颁发政策或任何其他东西。但是,当我尝试代表用户注册证书时,模板没有显示。选中“显示所有模板”框后,模板会出现以下错误消息:“请求的属性值为空。您无权查看此类证书。”
我查看了 Microsoft 库并在 Google 上搜索了有关此错误的信息,但似乎没有很好的记录。如有任何意见,我将不胜感激。谢谢!
答案1
我终于搞清楚了!由于我的公司不使用颁发政策,因此证书没有可解析的内容。因此,为了解决这个问题,我将模板从使用颁发政策更改为使用应用程序政策。
为此,打开证书模板的属性。
点击“发行要求”选项卡。
在“签名中所需的策略类型:”下拉菜单中,选择“应用程序策略”。
接下来,在“应用程序策略:”下拉菜单中选择“证书请求代理”。这将授予您使用该模板的权限。
只需将模板导入到 CA 即可完成。
答案2
您需要设置模板的安全性以允许您使用它。默认情况下,模板不可用。您可以从子 CA 上的证书管理器执行此操作。
在运行 CA 的服务器上:
- 打开证书颁发机构 MMC。
- 浏览到证书模板。
- 右键单击模板并选择“管理”。
- 这将打开一个新的 MMC。
- 找到您复制的证书。
- 右键单击它并选择属性。
- 转到“安全”选项卡。
- 确保您用来请求证书的用户(或计算机)都在此列表中。
这样你就可以看到该模板了。