Folgendes Szenario angenommen:
- Man versucht, ein Zertifikat von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
- Hierzu verwendet man die Microsoft Management Konsole (MMC), entweder für den angemeldeten Benutzer (certmgr.msc) oder für den Computer (certlm.msc).
- Der angemeldete Benutzer hat auch die notwendigen Berechtigungen, Zertifikate von der betreffenden Zertifikatvorlage zu beantragen (Enroll).
- Man bekommt keinerlei Zertifikatvorlagen zur Auswahl angezeigt, obwohl sie korrekt auf den Zertifizierungsstellen veröffentlicht wurden.
- Es gibt auch keine Option "Show hidden templates". Diese erscheint üblicherweise unten links im Dialog.
- Es wird folgende Fehlermeldung angezeigt:
Certificate types are not available. You cannot request a certificate at this time because no certificate types are available. If you need a certificate, contact your administrator.
Mögliche Ursachen:
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Mögliche Ursachen können sein:
- Es ist eine Enrollment Policy konfiguriert, die auf eine ungültige Adresse verweist.
- Bei Beantragung über die Zertifikatregistrierungs-Webdienste sind keine Zertifikatvorlagen für den aktuellen Benutzerkontext verfügbar.
- Bei Beantragung über die Zertifikatregistrierungs-Webdienste sind keine kompatiblen Zertifikatvorlagen verfügbar.
Details: Es ist eine Enrollment Policy konfiguriert, die auf eine ungültige Adresse verweist.
Das Fehlen der Option "Show hidden templates" kann ein Indiz dafür sein, dass bereits die Abfrage der Zertifikatvorlagen aus dem Active Directory fehlschlägt.
In der Standardeinstellung verweist die Enrollment Policy auf die GUID der Active Directory Gesamtstruktur. Wird beispielsweise eine Gruppenrichtlinie aus einer Testumgebung importiert, stimmen die GUIDs nicht mehr überein, und die Zertifikatvorlagen können nicht abgerufen werden.
Details: Bei Beantragung über die Zertifikatregistrierungs-Webdienste sind keine Zertifikatvorlagen für den aktuellen Benutzerkontext verfügbar.
Findet die Beantragung über die Zertifikatregistrierungs-Webdienste (CEP, CES) statt, sollte überprüft werden, ob für den aktuellen Kontext (Computer- bzw. Benutzer-Zertifikatspeicher) überhaupt eine Zertifikatvorlage veröffentlicht ist. Im Gegensatz zur Beantragung über RPC/DCOM steht auch in diesem Fall die Option "Show hidden Templates" nicht zur Verfügung.
Details: Bei Beantragung über die Zertifikatregistrierungs-Webdienste sind keine kompatiblen Zertifikatvorlagen verfügbar.
Es gibt einen bekannten Fehler im Zertifikatregistrierungs-Richtliniendienst (Certificate Enrollment Web Service, CEP), welcher dazu führt, dass Zertifikatvorlagen, deren Kompatibilität auf Windows 10 bzw. Windows Server 2016 eingestellt ist, nicht angezeigt werden. Für weitere Details siehe Artikel "Der Zertifikatregistrierungs-Richtliniendienst zeigt Zertifikatvorlagen, die auf Kompatibilität mit Windows Server 2016 oder Windows 10 konfiguriert sind, nicht an".
In diesem Fall muss die Kompatibilität der Zertifikatvorlage auf Windows Server 2012 R2 oder kleiner konfiguriert werden, sofern dies möglich ist.
4 Gedanken zu „Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung "You cannot request a certificate at this time because no certificate types are available."“
Kommentare sind geschlossen.