Folgendes Szenario angenommen:
- Maschinen sind per Gruppenrichtlinie konfiguriert, Zertifikate für den Remotedesktop-Sitzungshost zu beantragen.
- Die Zertifikate werden jedoch nicht beantragt oder bestehende Zertifikate laufen ohne Erneuerung ab.
- Im Ereignisprotokoll der betroffenen System wird das Ereignis mit ID 1064 der Quelle Terminalservices-RemoteConnectionManager protokolliert:
The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error occurred: The requested certificate template is not supported by this CA.
Unter Umständen wird auch das Ereignis mit ID 52 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll protokolliert.
Ursache
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Es wird empfohlen, für Remotedesktop-Zertifikate mit Autoenrollment zu arbeiten und nicht über die Zertifikatbeantragung durch dem Remotedesktop-Sitzungshost. Für weitere Details siehe Artikel "Konfigurieren einer Zertifikatvorlage für Remotedesktop (RDP) Zertifikate".
Die Fehlermeldung "The requested certificate template is not supported by this CA." ist irreführend. Die zugrundeliegende Ursache ist in den meisten Fällen einer der folgenden:
- Die Zertifikatvorlage ist auf keiner Zertifizierungsstelle veröffentlicht
- Es besteht kein Vertrauensstatus zur Zertifizierungsstelle
Details: Die Zertifikatvorlage ist auf keiner Zertifizierungsstelle veröffentlicht
Wenn die in der Gruppenrichtlinie konfigurierte Zertifikatvorlage auf keiner Zertifizierungsstelle veröffentlicht ist, kann auch keine Zertifikatbeantragung erfolgen. Hier sollte auch unbedingt geprüft werden, ob der Name der Zertifikatvorlage korrekt in der Gruppenrichtlinie eingetragen wurde.
Details: Es besteht kein Vertrauensstatus zur Zertifizierungsstelle
Dies ist in der Regel dann der Fall, wenn das Stammzertifizierungsstellen-Zertifikat nicht auf die Clients verteilt wurde, oder die Zertifikatkette nicht bis zur Stammzertifizierungsstelle vervollständigt werden kann.
Der Vertrauensstatus zur Zertifizierungsstellen-Hierarchie muss hergestellt werden. Siehe hierzu folgende Artikel:
- Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)."
- Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung "A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)"
- Der lokale Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen wird nicht aus dem Active Directory synchronisiert
Deutsch 
English