Допустим, вы пытаетесь запросить сертификат у центра сертификации Windows и получаете ошибку, гласящую The requested certificate template is not supported by this CA. В моем случае проблема возникла, когда я попытался запросить сертификат TLS/SSL для защиты RDP-соединений с помощью шаблона хоста RDSH.
Когда я попытался вручную запросить сертификат с помощью шаблона в certmgr консоли, я получил следующую ошибку:
Request Certificates: The requested certificate template is not supported by this CA. A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted.
Можно попробовать запросить сертификат на основе шаблона с помощью PowerShell:
$Cert = Get-Certificate -Template "YourTemplateName" -CertStoreLocation "cert:\CurrentUser\My"
В итоге получаем еще одну ошибку:
Get-Certificate : CertEnroll::CX509Enrollment::InitializeFromTemplateName: Template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)
А вот как эта ошибка выглядит в Event Viewer:
EventID: 1064 Source: Terminalservices-RemoteConnectionManager The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error occurred: The requested certificate template is not supported by this CA.
Типичные причины появления «Запрашиваемый шаблон сертификата не поддерживается этим ЦС» ошибки:
- Сертификат шаблон не опубликован на узле ЦС. Проверьте, опубликован ли запрашиваемый вами шаблон сертификата (вручную или через GPO) в вашем центре сертификации. Чтобы отобразить все доступные шаблоны, выполните команду
certutil –CATemplates. Если нужного вам шаблона нет в списке, просто опубликуйте его. Для этого выполните командуcertsrv.mscна вашем CA, затем перейдите в Шаблон сертификата -> Новый -> Шаблон сертификата для выпуска.
Также убедитесь, что вы указали правильное имя шаблона сертификата в настройках групповой политики; - Убедитесь, что ваш объект может запрашивать сертификат на Безопасность вкладка в настройках шаблона сертификата ACL. Хотя получение сертификата разрешено для Пользователи аутентификации по умолчанию, эту группу можно удалить из шаблона вручную. Попробуйте запросить сертификат для учетной записи компьютера:
certreq -q -machine -enroll YourTemplateNameЕсли у учетной записи компьютера нет разрешения на получение сертификата, вы получите следующую ошибку:
Certificate enrollment for Local system could not enroll for a YourTemplateName certificate. A valid certification authority cannot be found to issue this template.
В этом случае обязательно предоставьте права на шаблон для компьютера (группы), который должен получить сертификат;
- Ваш компьютер не доверяет ЦС. Если это так, вы найдете соответствующую ошибку в журналах клиента (EventID:
The CA certificate XXXXX is not trusted). Убедитесь, что клиенты доверяют вашему ЦС. Самый простой способ сделать это — развернуть корневой сертификат ЦС на компьютерах домена с помощью GPO.