我遇到了与此问题中发布的问题类似的问题:
简而言之,我创建了一个重复的证书模板,并试图将其添加到我的域 CA,以便我可以使用它颁发证书。但是,当我进入证书颁发机构 MMC 并转到“证书模板 -> 新建 -> 要颁发的证书模板”时,我的模板丢失了(以及域中存在的相当多的其他模板)。
不同于上一个问题,但是,我的 CA 在 Server 2008 R2 Enterprise 上运行。我们的组织只有一个 DC 和一个 CA,因此我看不出哪里可能存在传播延迟。
有什么想法可以使我的模板显示出来以便我可以颁发证书吗?
答案1
只是想向未来不适用此问题的搜索者提出这一点。对我来说,我必须进入 ADSI Edit 并将标志从 2 更改为 10。之后我必须重新启动 ADCS 服务,然后证书才可用。
“...ADSIEdit.msc,然后展开 CN=Configuration | CN=Services | CN=Public Key Services | CN=Enrollment Services。右键单击右侧窗格中要注册的 CA,然后单击属性。找到 flags 属性;并验证它是否设置为 10。如果没有设置为 10,则使用 ADSIedit.msc 将其设置为 10,并允许 Active Directory 复制完成。”
http://securitymusings.com/article/1733/cant-create-a-new-certificate-template-to-issue
答案2
如果您不想使用 adsiedit,您可以使用命令 certutil 作为解决方法:
- certutil -setCAtemplates +"templateName"(用于添加模板)
- certutil -setCAtemplates -"templateName"(用于删除模板)
命令必须在域管理员下的企业 CA 上本地运行,并且 CA 计算机帐户必须对此类模板拥有完全控制权。
奇怪的是,参数 setCAtemplates 不在官方文档中,也不在内置命令帮助中,但可以正常工作。我在Windows Server 2008 - Active Directory 证书服务迁移指南
答案3
想要使用模板的帐户是否有权这样做?在管理控制台中,右键单击证书模板容器并选择管理模板。对于缺少的模板,右键单击并选择属性。在安全选项卡上,确保想要申请证书的帐户有权注册。
答案4
如果您想知道为什么新创建的模板没有显示在“要颁发的证书模板”中,我在 Server 2012 R2 上遇到了这个问题。为了尝试一下,我停止并重新启动了 Active Directory 证书服务,然后新创建的模板就出现了。如果不为别的,如果您看不到新模板,尝试一下也无妨。