Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The permissions on the certificate template do not allow the current user to enroll for this type of certificate."

Folgendes Szenario angenommen:

Maschinen sind per Gruppenrichtlinie konfiguriert, Zertifikate für den Remotedesktop-Sitzungshost zu beantragen.
Die Zertifikate werden jedoch nicht beantragt.
Im Ereignisprotokoll der betroffenen System wird das Ereignis mit ID 1064 der Quelle Terminalservices-RemoteConnectionManager protokolliert:

The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error occurred: The permissions on the certificate template do not allow the current user to enroll for this type of certificate.

Ursache und Lösung

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Tritt auf, wenn die Clients keine "Enroll" Berechtigung auf der per Gruppenrichtlinie konfigurierten Zertifikatvorlage besitzen.

Die Computerobjekte der Clients benötigen die "Enroll" Berechtigung auf der in der Gruppenrichtlinie konfigurierten Zertifikatvorlage.

Es wird empfohlen, für Remotedesktop-Zertifikate mit Autoenrollment zu arbeiten und nicht über die Zertifikatbeantragung durch dem Remotedesktop-Sitzungshost. Für weitere Details siehe Artikel "Konfigurieren einer Zertifikatvorlage für Remotedesktop (RDP) Zertifikate".

Weiterführende Links:

Fehlersuche für die automatische Zertifikatbeantragung (Autoenrollment) via RPC/DCOM

Externe Quellen

RDP TLS Certificate Deployment Using GPO (Carlos Perez)

Ein Gedanke zu „Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The permissions on the certificate template do not allow the current user to enroll for this type of certificate."“

Pingback: Details zum Ereignis mit ID 1064 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager – Uwe Gradenegger

Kommentare sind geschlossen.