Es gibt einen bekannten Fehler im Zertifikatregistrierungs-Richtlinienwebdienst (Certificate Enrollment Policy Web Service, CEP), der dazu führt, dass Zertifikatvorlagen, die auf Kompatibilität mit Windows Server 2016 bzw. Windows 10 konfiguriert sind, nicht angezeigt werden.
Die Zertifikatregistrierungs-Webdienste (Certificate Enrollment Policy Web Service, CEP und Certificate Enrollment Web Service, CES) ermöglichen die automatische Beantragung und Erneuerung von Zertifikaten einer Zertifizierungsstelle über eine Webbasierte Schnittstelle. Somit ist kein direkter Kontakt zur Zertifizierungsstelle über Remote Procedure Call (RPC) notwendig. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES)".
Hierbei ist es unerheblich, ob nur die Kompatibilität für die Zertifizierungsstelle oder diese für Zertifikatempfänger auf Windows Server 2016 bzw. Windows 10 eingestellt ist. In beiden Fällen wird die Zertifikatvorlage durch den CEP nicht angezeigt.
Offenbar wird die Zertifikatvorlage ausgefiltert, wenn einer der folgenden Fälle zutrifft:
- Das CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT Flag im Attribut msPKI-Private-Key-Flag der Zertifikatvorlage ist auf TEMPLATE_SERVER_VER_THRESHOLD konfiguriert.
- Das CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT Flag im Attribut msPKI-Private-Key-Flag der Zertifikatvorlage ist auf TEMPLATE_CLIENT_VER_THRESHOLD konfiguriert.
Für weitere Details hierzu siehe Artikel "Wie sind die Kompatibilitätseinstellungen für Zertifikatvorlagen technisch abgebildet?".
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Dies führt unter Anderem zu folgendem Phänomen:
- Erfolgt die Beantragung eines Zertifikats über die Windows Powershell (Get-Certificate), schlägt die Beantrasgung fehl. Siehe hierzu auch Artikel "Die Beantragung eines Zertifikats über die Zertifikatregistrierungs-Webdienste mittels Windows PowerShell schlägt fehlt mit Fehlermeldung "Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)""
- Erfolgt die Beantragung eines Zertifikats über die Microsoft Management Console (MMC), wird die Zertifikatvorlage nicht angezeigt, oder die Liste der Zertifikatvorlagen ist leer. Siehe hierzu Artikel "Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung "You cannot request a certificate at this time because no certificate types are available.""
Da Microsoft zu diesem Problem einen Knowledge Base Artikel, bislang aber keinen Hotfix veröffentlicht hat, ist davon auszugehen, dass der Fehler nicht behoben werden wird.
Es bliebt also nur, die Kompatibilität der Zertifikatvorlage auf Windows Server 2012 R2 oder kleiner zu konfigurieren, sofern dies möglich ist.
Deutsch 
English
6 Gedanken zu „Der Zertifikatregistrierungs-Richtliniendienst zeigt Zertifikatvorlagen, die auf Kompatibilität mit Windows Server 2016 oder Windows 10 konfiguriert sind, nicht an“
Kommentare sind geschlossen.