Вопрос или проблема
Я дублировал шаблон сертификата веб-сервера на своем сервере ЦС, чтобы настроить время продления и определить, кто может его развертывать для определенных устройств. Я обновил настройки совместимости для сертификационного центра до Server 2016 и для запроса сертификата до Windows 10/Server 2016. Я обновил время продления на более длительное, чем по умолчанию, но все еще в пределах срока действия ЦС. Я добавил пользователей, которые могут запрашивать и регистрировать сертификат. Когда я пытаюсь запросить сертификат для этого шаблона, я получаю следующую ошибку:
Запрашиваемый шаблон сертификата не поддерживается этим ЦС. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE) Отклонено модулем политики 0x80094800, запрос был на шаблон сертификата, который не поддерживается политикой служб сертификатов Active Directory: Копия WebServer
Почему я не могу запросить сертификаты с помощью этого шаблона, если это копия стандартного шаблона сертификата WebServer?
Ответ или решение
Для решения проблемы с дублированием шаблона сертификата веб-сервера, необходимо обратить внимание на несколько ключевых аспектов процесса настройки и совместимости. Ниже приведен подробный разбор возможных причин, по которым возникает проблема с запросом сертификата на основе созданного вами дубликата шаблона.
Теория
Когда вы дублируете шаблон сертификата на сервере корпоративного удостоверяющего центра (CA), важно убедиться, что новый шаблон полностью совместим с политиками и службами удостоверяющего центра. Ваша цель состоит в изменении шаблона для увеличения времени обновления и ограничения списка пользователей, способных запрашивать и развертывать этот сертификат. Совместимость между различными версиями операционных систем и служб также играет важную роль.
Пример
В описанном вами сценарии вы изменили настройки совместимости для удостоверяющего центра на "Server 2016" и для запроса сертификатов на "Windows 10/Server 2016", а также изменили время продления и добавили пользователей в список разрешенных для запроса и уста
Возможные причины ошибки:
-
Несоответствие настроек совместимости. Несмотря на обновление совместимости, может существовать несовместимость между настройками дублированного шаблона и политиками CA. Убедитесь, что используются те же настройки, что и для оригинального шаблона "WebServer".
-
Политики безопасности и доступа. Возможно, что настройки доступа были некорректно сконфигурированы, и пользователи, указанные для запроса сертификатов, не имеют необходимых разрешений на сервере CA. Проверьте, совпадают ли политики безопасности с требованиями вашего удостоверяющего центра.
-
Параметры шаблона. Проведите ревизию всех настроек дублированного шаблона на предмет отклонений от исходного. Даже небольшие различия, такие как изменённые разрешения ключевого использования или использование нестандартных расширений, могут привести к ошибкам.
Применение
Для устранения ошибки выполните следующие шаги:
-
Проверка совместимости. Перепроверьте настройки совместимости вашего шаблона, как для CA, так и для клиента. Убедитесь, что установленные у вас версии операционных систем и служб действительно поддерживают заявленные параметры.
-
Анализ прав доступа. Просмотрите и обновите разрешения безопасности на уровень шаблона, удостоверившись, что все нужные пользователи и группы имеют право на инсталляцию и запрос сертификатов.
-
Сравнение шаблонов. Используйте утилиты для сравнения сертификатов, чтобы определить все отличия между дублированным и оригинальным шаблоном. Это поможет выявить случайные изменения, приводящие к несовместимости.
Следуя вышеуказанным рекомендациям, вы сможете обеспечить корректную работу шаблона и успешно запрашивать сертификаты на его основе. Если проблема сохраняется, возможно, потребуется углублённая диагностика с участием специалистов по безопасности информационных систем.