Ошибка, когда пользователь запрашивает сертификат со страниц веб-регистрации в ЦС: шаблоны сертификатов не найдены

В этой статье содержится справка по решению ошибки «Шаблоны сертификатов не найдены», которая возникает при запросе сертификатов со страниц веб-регистрации ЦС.

Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 811418

Симптомы

Когда пользователь пытается запросить сертификат на страницах веб-регистрации в ЦС, он может получить следующее сообщение об ошибке:

Шаблоны сертификатов не найдены. У вас нет разрешения на запрос сертификата из этого центра сертификации или при доступе к Active Directory произошла ошибка.

Это происходит, если страницы веб-регистрации находятся в домене Active Directory на сервере корпоративного ЦС. Это происходит независимо от того, находятся ли страницы веб-регистрации на одном сервере или на другом рядовом сервере.

Причина

Страницы веб-регистрации ЦС выполняют сравнение строк с регистром двух значений. Одним из значений является значение sServerConfig в файле Certdat.inc в папке на сервере сертификатов, а другим значением является атрибут %systemroot%\System32\Certsrv dnsHostName объекта pkiEnrollmentService в Active Directory. Если две строки не совпадают, включая совпадение с регистром, регистрация не будет зарегистрирована.

Решение

Чтобы исправить это поведение, выполните следующие действия:

Просмотр атрибута dNSHostName Active Directory в объекте pkiEnrollmentService. Этот объект находится в следующем расположении:

CN= CertificateServer,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC= MyDomain,DC=com

Чтобы просмотреть атрибут dNSHostName, используйте ADSIEdit.msc или LDP.exe.

Отредактировать файл Certdat.inc, чтобы значение для sServerConfig было таким же, как значение атрибута dNSHostName, за которым следует имя ЦС сертификата.

Значение sServerConfig должно быть в том же точном случае, что и атрибут dNSHostName. Если это не так, вы по-прежнему будете получать ту же ошибку.

Например, если DNS-имя хоста для ЦС — server1.domain.local, а имя — MYCA, убедитесь, что атрибут dNSHostName для CN=MYCA,CN=Enrollment Services,CN=Public Key Services,CN=Services ,CN=Configuration,DC= Domain,DC=local object is set to server1.domain.local and sServerConfig in the certdat.inc file in the %systemroot%\system32\certsrv folder on the Certification Authority should be set to server1.domain.local\MYCA.

Пользователь, который хочет запросить перезапуск сертификата Internet Explorer. Это позволяет передавать новые учетные данные в ЦС.

Кроме того, убедитесь, что пользователю предоставлены разрешения на чтение и регистрацию в шаблоне сертификата, который запрашивает пользователь. Вы можете предоставить эти разрешения с помощью оснастки ADSIEdit или оснастки шаблонов сертификатов.

Ошибки сертификатов: вопросы и ответы

Доступен новый браузер, рекомендуемый корпорацией Майкрософт

Получите скорость, безопасность и конфиденциальность с помощью нового Microsoft Edge .

Иногда вы получаете сообщение об ошибке, в котором говорится, что у вас возникла проблема с сертификатом безопасности веб-сайта. Сертификат сайта позволяет браузеру Internet Explorer установить безопасное подключение к сайту. Ошибки сертификата возникают, если есть проблема с сертификатом или с тем, как веб-сервер его использует. Internet Explorer помогает обеспечить более высокий уровень безопасности вашей информации, предупреждая об ошибках сертификатов.

Сообщение об ошибке

Сертификат безопасности веб-сайта был отозван.

Не следует доверять этому веб-сайту. Это часто означает, что сертификат безопасности был получен или использовался данным веб-сайтом обманным путем.

Адрес веб-сайта не соответствует адресу в сертификате безопасности.

Веб-сайт использует сертификат, выданный другому веб-адресу. Эта ошибка может возникнуть, если компания владеет несколькими веб-сайтами и использует один и тот же сертификат для нескольких веб-сайтов.

Истек срок действия сертификата веб-сайта.

Текущая дата попадает в период действия сертификата. Веб-сайты должны своевременно обновлять свои сертификаты в центре сертификации. Сертификаты, срок действия которых истек, могут создавать угрозу безопасности.

Сертификат безопасности данного веб-сайта получен из ненадежного источника.

Internet Explorer не может определить центр сертификации, выдавший этот сертификат. Поддельные сайты часто используют фальшивые сертификаты, вызывающие эту ошибку.

Internet Explorer обнаружил проблему с сертификатом безопасности этого веб-сайта.

Internet Explorer обнаружил проблему с сертификатом, которая не соответствует ни одной из других ошибок. Это может произойти, если сертификат поврежден, подделан, записан в неизвестном формате или не читается. При такой ошибке сертификата не следует доверять удостоверению сайта.

Сертификат веб-сайта предоставляет идентификацию веб-сервера. Ошибка сертификата может означать, что подключение перехвачено или этот веб-сервер выдает себя за какой-либо другой. Если вы полностью уверены в удостоверении веб-сайта, знаете, что подключение не подвержено угрозам, и осознаете риски, то можно перейти на веб-сайт. Тем не менее игнорировать предупреждение о сертификате не рекомендуется.

Да. Хотя это не рекомендуется, для перехода на веб-сайт можно выбрать пункт Продолжить открытие этого веб-сайта (не рекомендуется) на странице предупреждения с сообщением об ошибке сертификата. Если игнорировать страницу предупреждения и продолжить загрузку веб-сайта с ошибкой сертификата, браузер Internet Explorer сохраняет данные об этом сертификате до закрытия. Можно вернуться на сайт; при этом предупреждения для этого сертификата не будут отображаться до перезапуска Internet Explorer.

Нет, вы не можете отключить проверку сертификата в Internet Explorer. Отображение сообщений об ошибках сертификатов указывает на проблемы с сертификатом на посещаемом веб-сайте, а не на сбой в работе Internet Explorer.

Не удалось запросить сертификат с помощью веб-регистрации

В этой статье приводится решение проблемы, из-за которой не удается запросить сертификат с помощью веб-регистрации.

Исходная версия продукта: Windows Server 2008 R2 Пакет обновления 1
Исходный номер КБ: 2885758

Симптомы

Когда вы просматриваете веб-сайт ЦС для запроса сертификата, а затем нажимаете кнопку «Запросить сертификат», а затем выберите «Создать и отправить запрос в этот ЦС», вы получите следующее сообщение:

Чтобы завершить регистрацию сертификата, необходимо настроить веб-сайт ЦС на использование проверки подлинности HTTPS.

Рядом с адресной панели также может появиться следующее сообщение:

Internet Explorer заблокировал использование этого сайта с помощью activeX-управления небезопасным способом. В результате страница может отображаться неправильно.

Чтобы устранить вышеперечисленные ошибки, если добавить URL-адрес веб-сайта в зону надежных сайтов и включить параметр «Инициализация и скрипт ActiveX элементы управления, не помеченные как безопасные для сценариев», а затем попытаться просмотреть веб-сайт для запроса сертификата, вы получите следующее сообщение:

Этот веб-сайт пытается выполнить операцию цифрового сертификата от вашего имени:
https://CAWebsiteURL
Следует разрешить только известным веб-сайтам выполнять операции с цифровыми сертификатами от вашего имени. Вы хотите разрешить эту операцию?

Если вы нажмли «ОК» в вышеперечисленном сообщении, вы получите всплывающее окно со следующим сообщением:

Шаблоны сертификатов не найдены. У вас нет разрешения на запрос сертификата из этого центра сертификации или при доступе к active directory произошла ошибка.

Причина

Если вы используете серверы ЦС в Windows 2008 R2 и выше и пытаетесь запросить шаблоны сертификатов компьютера версии 3 с помощью веб-регистрации (CAWE), она не будет работать.

Это было улучшение, которое мы представили в Windows 2008 R2.

Теперь веб-регистрация (CAWE) не поддерживает шаблоны V3.

Для запроса шаблона V3 можно использовать MMC, автоматическую регистрацию и certreq.exe запроса.

Решение

Вот несколько возможных решений этой проблемы:

Ошибка «Сертификат безопасности сайта не является доверенным». Как ее исправить?

Доброго дня!

Я думаю, что почти каждый пользователь (особенно в последнее время) сталкивался с ошибкой в браузере о том, что сертификат такого-то сайта не является доверенным, и рекомендацией не посещать его.

С одной стороны это хорошо (все-таки и браузер, и вообще популяризация подобных сертификатов — обеспечивает нашу безопасность), но с другой — подобная ошибка иногда всплывает даже на очень известных сайтах (на том же Google).

Суть происходящего, и что это значит?

Дело в том, что когда вы подключаетесь к сайту, на котором установлен протокол SSL, то сервер передает браузеру цифровой документ ( сертификат ) о том, что сайт является подлинным (а не фейк или клон чего-то там. ). Кстати, если с таким сайтом все хорошо, то браузеры их помечают «зеленым» замочком: на скрине ниже показано, как это выглядит в Chrome.

Однако, сертификаты могут выпускать, как всем известные организации (Symantec, Rapidssl, Comodo и др.) , так и вообще кто-угодно. Разумеется, если браузер и ваша система «не знает» того, кто выпустил сертификат (или возникает подозрение в его правильности) — то появляется подобная ошибка.

Т.е. я веду к тому, что под раздачу могут попасть как совсем белые сайты, так и те, которые реально опасно посещать. Поэтому, появление подобной ошибки это повод внимательно взглянуть на адрес сайта.

Ну а в этой статье я хочу указать на несколько способов устранения подобной ошибки, если она стала появляться даже на белых и известных сайтах (например, на Google, Яндекс, VK и многих других. Их же вы не откажетесь посещать?).

Как устранить ошибку

1) Обратите внимание на адрес сайта

Первое, что сделайте — просто обратите внимание на адрес сайта (возможно, что вы по ошибке набрали не тот URL). Также иногда такое происходит по вине сервера, на котором расположен сайт (возможно, вообще, сам сертификат просто устарел, ведь его выдают на определенное время). Попробуйте посетить другие сайты, если с ними все OK — то вероятнее всего, что проблема не в вашей системе, а у того конкретного сайта.

Пример ошибки «Сертификат безопасности сайта не является доверенным»

Однако, отмечу, что если ошибка появляется на очень известном сайте, которому вы (и многие другие пользователи) всецело доверяете — то высока вероятность проблемы в вашей системе.

2) Проверьте дату и время, установленные в Windows

Второй момент — подобная ошибка может выскакивать, если у вас в системе неверно задано время или дата. Для их корректировки и уточнения достаточно щелкнуть мышкой по «времени» в панели задач Windows (в правом нижнем углу экрана). См. скрин ниже.

Настройка даты и времени

После установки правильного времени, перезагрузите компьютер и попробуйте заново открыть браузер и сайты в нем. Ошибка должна исчезнуть.

Также обращаю внимание на то, что, если у вас постоянно сбивается время — вероятно у вас села батарейка на материнской плате. Представляет она из себя небольшую «таблетку», благодаря которой компьютер помнит введенные вами настройки, даже если вы его отключаете от сети (например, те же дата и время как-то высчитываются?).

Батарейка на материнской плате ПК

3) Попробуйте провести обновление корневых сертификатов

Еще один вариант, как можно попробовать решить эту проблему — установить обновление корневых сертификатов. Обновления можно скачать на сайте Microsoft для разных ОС. Для клиентских ОС (т.е. для обычных домашних пользователей) подойдут вот эти обновления: https://support.microsoft.com/

4) Установка «доверенных» сертификатов в систему

Этот способ хоть и рабочий, но хотелось бы предупредить, что он «может» стать источником проблем в безопасности вашей системы. По крайней мере, прибегать к этому советую только для таких крупных сайтов как Google, Яндекс и т.д.

Для избавления от ошибки, связанной с недостоверностью сертификата, должен подойти спец. пакет GeoTrust Primary Certification Authority .

Кстати, на этой страничке расположено еще несколько сертификатов, их также можно до-установить в систему.

Кстати, чтобы скачать GeoTrust Primary Certification Authority:

нажмите правой кнопкой мышки по ссылке download и выберите вариант «сохранить ссылку как. «;

Сохранить ссылку как.

далее укажите папку на диске, куда будет скачан сертификат. Это будет файл формата PEM.

Файл с расширением PEM

Теперь необходимо скачанный сертификат установить в систему. Как это делается, по шагам расскажу чуть ниже:

1. сначала нажимаем сочетание кнопок Win+R, и вводим команду certmgr.msc, жмем OK;
2. должен открыться центр сертификатов в Windows. Необходимо раскрыть вкладку «Доверенные корневые центры сертификации/сертификаты», щелкнуть по ней правой кнопкой мышки и выбрать «Все задачи — импорт».

далее запустится мастер импорта сертификатов. Просто жмем «Далее».

Мастер импорта сертификатов

после нажмите кнопку «Обзор» и укажите ранее загруженный нами сертификат. Нажмите «Далее» (пример показан ниже);

Указываем сертификат, который загрузили

в следующем шаге укажите, что сертификаты нужно поместить в доверенные центры сертификации и нажмите «Далее».

Поместить сертификаты в доверенные. Далее

в следующем шаге вы должны увидеть, что импорт успешно завершен. Собственно, можно идти проверять, как будет отображаться сайт в браузере (может потребоваться перезагрузка ПК).

5) Обратите внимание на антивирусные утилиты

В некоторых случаях эта ошибка может возникать из-за того, что какая-нибудь программа (например, антивирус) проверяет https трафик. Это видит браузер, что пришедший сертификат не соответствует адресу, с которого он получен, и в результате появляется предупреждение/ошибка.

Поэтому, если у вас установлен антивирус/брандмауэр, проверьте и на время отключите настройку сканирования https трафика (см. пример настроек AVAST на скрине ниже).

Avast — основные настройки (отключение сканирование https трафика)

На этом у меня всё.

За дополнения по теме — отдельное мерси!