找不到證書模板
https://blog.csdn.net/weixin_34109408/article/details/92098655
https://blog.51cto.com/donex/616786
症狀:
當用戶試圖在從證書頒發機構 (CA) Web 登記頁申請證書時,用戶可能會收到以下錯誤消息:
找不到證書模板。 您沒有從該的 CA 申請證書的權限或訪問 Active Directory 時出錯。
如果 Web 注冊頁是一個企業 CA 服務器上的 Active Directory 域中,將發生此行為。 發生該事件,Web 注冊頁是否在同一服務器上或在不同的成員服務器上。
原因:
CA Web 注冊頁執行區分大小寫的字符串比較的兩個值。 一個值是在證書上 %systemroot%\System32\Certsrv 文件夾中的 Certdat.inc 文件中的 sServerConfig 值和另一個值是在 Active Directory 中 pkiEnrollmentService 對象上的 dnsHostName 屬性。 如果兩個字符串不匹配,包括在大小寫的匹配注冊失敗。
解決方案:
若要更正此問題,請按照下列步驟:
- 查看 pkiEnrollmentService 對象上的 Active Directory dNSHostName 屬性。 此對象是在以下位置:
CN = CertificateServerCN = 注冊服務、 CN = 公鑰服務、 CN = 服務,CN = 配置,DC = MyDomainDC = com若要訪問 dNSHostName 屬性使用 ADSIEdit.msc 或 LDP.exe。
- 編輯 Certdat.inc 文件,以便為 sServerConfig 值是相等,則為該 dNSHostName 屬性跟證書頒發機構名稱。
請注意sServerConfig 值必須是同一種的確切情況下,作為 dNSHostName 屬性。 如果不是這樣,您將繼續得到同樣的錯誤。 - 例如:如果 DNS 主機名的證書頒發機構是 server1.domain.local,證書頒發機構的名稱是 MYCA,然后確保 dNSHostName 屬性中的"CN = MYCA,CN = 登記服務,CN = 公鑰服務,CN = 服務,CN = 配置,DC =域DC = 本地對象設置為"server1.domain.local",並應設置在證書頒發機構 certdat.inc 文件"%systemroot%\system32\certsrv"文件夾中的 sServerConfig to"server1.domain.local\MYCA"。
- 具有該用戶,並且要請求證書重新啟動 Internet Explorer。 這就允許新的憑據傳遞給 CA。
請注意此外請確保該用戶被授予讀取和注冊的用戶請求的證書模板上的權限。 您可以通過使用 ADSIEdit.msc 管理單元或證書模板管理單元中授予這些權限。
================= End