Der Anzeigename einer Zertifikatvorlage wird nicht aufgelöst. Es wird nur der Objektidentifizierer (OID) der Zertifikatvorlage angezeigt.

Folgendes Szenario angenommen:

  • Für eine Zertifikatvorlage wird nur der Objektidentifizierer (Object Identifier) angezeigt, jedoch nicht der Anzeigename und/oder
  • Abfragen gegen die Zertifizierungsstellen-Datenbank enthalten für die Zertifikatvorlage (Feld "CertificateTemplate") nur den Objektidentifizier, jedoch nicht den Anzeigenamen.

Der Fehler kann sich auch auf Abfragen gegen die Zertifizierungsstellen-Datenbank erstrecken.

Zum Vergleich eine Zertifikatvorlage, die den Anzeigenamen korrekt anzeigt:

Bei diesem Problem müssen zwei Fälle unterschieden werden:

  • Die Zertifikatvorlage wurde erst kürzlich angelegt
  • Die Zertifikatvorlage existiert schon länger und hat bereits funktioniert

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Die Zertifikatvorlage wurde erst kürzlich angelegt

Wurde die Zertifikatvorlage erst kürzlich angelegt, wurden die entsprechenden Informationen wahrscheinlich noch nicht auf den Computer repliziert. Die Zertifikatvorlage ist als Active Directory Objekt gespeichert. Jeder Computer in der Active Directory Gesamtstruktur wird die Information über den Autoenrollment Prozess aus dem Active Directory beziehen und lokal zwischenspeichern.

Der Zwischenspeicher für das aktuell angemeldete Computerkonto befindet sich in folgendem Registrierungs-Pfad:

HKEY_CURRENT_USER\Software\Microsoft\Cryptography\CertificateTemplateCache

Der Zwischenspeicher für das Computerkonto befindet sich in folgendem Registrierungs-Pfad:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\CertificateTemplateCache

Der Prozess kann manuell mit folgendem Kommandozeilenbefehl gestartet werden:

certutil -pulse

Für Benutzerkonten:

certutil -pulse -user

Für weitere Informationen siehe Artikel "Manuelles Ausführen des Autoenrollment Prozesses".

Die Zertifikatvorlage existiert schon länger und hat bereits funktioniert

Führt die zuvor beschriebene Methode nicht zum Erfolg, sollte überprüft werden, ob den Objektidentifizierer ein Anzeigename zugeordnet ist.

Für eine Abfrage gegen den lokalen Zwischenspeicher kann folgender Kommandozeilenbefehl verwendet werden:

certutil -oid {oid}

Für eine direkte Abfrage gegen das Active Directory kann analog folgender Kommandozeilenbefehl verwendet werden:

certutil -ds {oid}

Zum Vergleich eine Zertifikatvorlage, die den Anzeigenamen korrekt anzeigt:

In diesem Fall ist das "displayName" Attribut auf dem OID-Objekt nicht gesetzt. Die OID-Objekte befinden sich in der Konfigurations-Partition der Active Directory Gesamtstruktur.

CN=OID,CN=Public Key Services,CN=Services,CN=Configuration,{Forest-Root-Domain}

Das Attribut kann mit dem ADSI Editor (adsiedit.msc) oder der Windows-PowerShell gesetzt werden.

Get-ADObject "{LDAP-Pfad}" | Set-ADObject -Add @{displayname="{Anzeigename}"}

Weiterführende Links

de_DEDeutsch