Nach Installation oder Migration einer Zertifizierungsstelle auf einen neuen Server können keine eigenen Zertifikatvorlagen mehr veröffentlicht werden

Folgendes Szenario angenommen:

• Es ist eine Active Directory integrierte Zertifizierungsstelle (Enterprise CA) im Netzwerk integriert.
• Die Zertifizierungsstelle wurde auf einen neuen Server migriert (siehe auch Artikel "Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen anderen Server").
• Beim Veröffentlichen der Zertifikatvorlagen stellt man fest, dass sich nur die Standard-Zertifikatvorlagen zur Veröffentlichung auswählen lassen. Eigene Zertifikatvorlagen werden nicht angezeigt.

Die Zertifizierungsstelle wird das Ereignis Nr. 126 protokollieren.

Current information about advanced features supported by this Certification Authority is not available from the domain controller. Stop and restart Certificate Services in order to update this information. Element not found. 0x80070490 (WIN32: 1168 ERROR_NOT_FOUND)

Ursache

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Bis zu Windows Server 2008 R2 gab es eine Unterscheidung, ob man die "Standard Edition" oder die "Enterprise Edition" (bei Windows 2000: Advanced Server) des Betriebssystems installiert hatte. Nur wenn die Zertifizierungsstelle auf der "Enterprise Edition" des Betriebssystems installiert war, konnte man eigene Zertifikatvorlagen nutzen.

Hierbei nicht die Begriffe "Enterprise Edition" und "Enterprise Certification Authority" verwechseln. Im einen Fall ist die Variante des Betriebssystems gemeint, im zweiten Fall der Installationstyp der Zertifizierungsstelle.

Die Unterscheidung ob "Standard Edition" oder "Enterprise Edition" wird durch ein Flag auf dem pKIEnrollmentService Objekt realisiert. Eine Active Directory Enterprise CA sollte die folgenden Flags gesetzt haben:

• CA_FLAG_SUPPORTS_NT_AUTHENTICATION (0x2)
• CA_FLAG_CA_SERVERTYPE_ADVANCED (0x8)

Der resultierende Wert im "flags" Attribut auf dem pKIEnrollmentService Objekt der Zertifizierungsstelle sollte also "10" lauten. Ist der Wert beispielsweise auf "2" gesetzt, ist das CA_FLAG_CA_SERVERTYPE_ADVANCED Flag nicht gesetzt.

Es gibt auch die Möglichkeit, sich die Werte mit folgendem Kommandozeilenbefehl auflösen zu lassen:

certutil -v -ds "{Common-Name-der-CA}" flags

Auch bei einer Migration der Zertifizierungsstelle (was eine Neuinstallation der Zertifizierungsstellen-Rolle auf dem neuen Server beinhaltet) kann es passieren, dass das CA_FLAG_CA_SERVERTYPE_ADVANCED Flag nicht mehr gesetzt ist.

Ändern kann man den Wert direkt im ADSI Editor oder mit folgendem Kommandozeilenbefehl auf der Zertifizierungsstelle, welcher das "flags" Attribut beim nächsten Start des Zertifizierungsstellen-Dienstes aktualisiert:

certutil -setreg CA\SetupStatus +SETUP_UPDATE_CAOBJECT_SVRTYPE

In beiden Fällen muss der Zertifizierungsstellen-Dienst neu gestartet werden, damit die veränderten Einstellungen eingelesen werden.

Nun sollte das Flag korrekt aufgelöst werden und die eigenen Zertifikatvorlagen sollten zur Veröffentlichung auswählbar sein.

Weiterführende Links:

• Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen anderen Server
• Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted."
• (Neu-) Installieren der Microsoft Standard Zertifikatvorlagen
• Beschreibung der Generationen von Zertifikatvorlagen
• Der Zertifikatregistrierungs-Richtliniendienst zeigt Zertifikatvorlagen, die auf Kompatibilität mit Windows Server 2016 oder Windows 10 konfiguriert sind, nicht an

Externe Quellen

• How to troubleshoot Certificate Enrollment in the MMC Certificate Snap-in (Microsoft)
• You cannot add V2 or V3 templates after an inplace upgrade was performed using Windows Server 2008 enterprise CA (Microsoft, archive.org)
• You cannot add V2 or V3 templates after an inplace upgrade was performed on a Windows Server 2008 enterprise CA (Microsoft, archive.org)