aschinnerl 10 Geschrieben 3. Oktober 2008 Melden Teilen Geschrieben 3. Oktober 2008 Ich habe das Problem das ich bei einem Windows 2003 mit Zeritikatsstelle kein neues Zertifikat anfordern kann da ich die Meldung bekomme "Es wurden keine Zertifikatsvorlagen gefunden. Sie verfügen nicht über ausreichend Rechte, um ein Zertifikat von dieser Zertifizierungsstelle anfordern zu können, oder beim Zugriff auf das AD ist ein Fehler aufgetreten." Hat jemand von euch auf die schnelle eine Idee woran das liegen könnte. Bin als Domänenadmin angemeldet, dh. daran kann es nicht liegen. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 4. Oktober 2008 Melden Teilen Geschrieben 4. Oktober 2008 Hi, als "Idee auf die Schnelle" ist mir Tante Google eingefallen... Dort habe ich nämlich ganz schnell als erstes Suchergebnis die folgende Seite gefunden Webregistrierung für Zertifikatsdienste unter Windows*2000 und Windows*Server*2003 - Konfiguration und Problembehandlung , auf der im Unterpunkt "Es wurden keine Zertifikatsvorlagen gefunden. Sie verfügen nicht über ausreichend Rechte, um ... anzufordern." einige Hinweise zur Fehlersuche gegeben sind. :wink2: Wenn Du nach dem Prüfen dieser Punkte noch immer den gleichen Fehler hast, beschreibe hier doch einmal ein wenig genauer Deine Umgebung, so daß man etwas dazu sagen kann. Viele Grüße olc Zitieren Link zu diesem Kommentar
aschinnerl 10 Geschrieben 4. Oktober 2008 Autor Melden Teilen Geschrieben 4. Oktober 2008 Habe mir diesen Link genauer angesehen. "No Certificate Templates Could Be Found" error message when a user requests certificate from CA Web enrollment pages Ich sehe da das es im AD bei mir diesen String CN=CertificateServer,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=MyDomain,DC=com überhaupt nicht gibt. Dh. bei CN=Enrollment Services ist das letzte Objekt. Bin jetzt am überlegen ob ich nicht einfach die CA deinstallieren und neu ausstellen soll? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 8. Oktober 2008 Melden Teilen Geschrieben 8. Oktober 2008 Hi, hast Du die Windows Server 2003 CA als "Enterprise CA" oder als "Stand Alone CA" installiert? Sollte sie als "Stand Alone CA" installiert worden sein, kann dieses AD-Objekt (und weitere) nicht existieren, da nur "Enterprise CAs" AD-integriert sind. In diesem Fall kannst Du weiterhin auch nur die V1 Standard Templates nutzen, da "Stand Alone CAs" keine angepaßten V2 Templates unterstützen. Viele Grüße olc Zitieren Link zu diesem Kommentar
aschinnerl 10 Geschrieben 8. Oktober 2008 Autor Melden Teilen Geschrieben 8. Oktober 2008 Ich glaube auch das ich damals die CA als Stand Alone installiert habe. Komischerweise konnte ich damals noch ein Zertifikat ausstellen und genehmigen, aus irgend einem Grund geht das jetzt nicht mehr. Wenn ich die CA deinstalliere und diese neu installiere, sollte es doch wieder gehen. Die Frage ist was passiert mit den ausgestellten Zertifikaten? Werden diese sofort ungültig? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 9. Oktober 2008 Melden Teilen Geschrieben 9. Oktober 2008 Hi, wie oben schon geschrieben, hast Du vielleicht Zertifikate ausgestellt, die die vorhandenen V1 Templates genutzt haben. Aber das ist nur eine Vermutung, da wir derzeit keine genaueren Angaben haben. Wenn Du die Zertifizierungsstelle neu installierst, dann wird zumindest standardmäßig ein neues CA-Zertifikat (für die Zertifizierungsstelle) erzeugt. Somit sind auch die Signaturen in den CRLs etc. andere. Weiterhin hat die CA bei einer Neuinstallation auch die ausgestellten bzw. zurückgerufenen Zertifikate etc. nicht mehr in der Datenbank. Das bedeutet, daß (solange das CA Zertifikat der alten CA noch im lokalen Store der Clients vorhanden ist und die CRL nicht abgelaufen) im Grunde noch etwas mit den ausgestellten Zertifikaten gearbeitet werden kann. Spätestens ab dem Zeitpunkt, ab dem die CRLs jedoch abgelaufen sind, wirst Du wahrscheinlich in Probleme laufen, da die Applikationen selbst bestimmen, was sie in einer solchen Situation tun. Eine große Anzahl an Anwendungen wird dann etwa den Zugriff verweigern bzw. die Zertifikate nicht mehr als gültig anerkennen. Die Empfehlung wäre also in einem solchen Fall eher, die Zertifikate mit der neuen CA noch einmal neu austellen zu lassen. Mittels Autoenrollment bei einer Enterprise CA ist das jedoch meist "schnell erledigt"... P.S.: Eine CA nützt nur dann wirklich etwas, wenn die Konfiguration etc. gut geplant ist. Es ist immer empfehlenswert, sich die Leitfäden von MS dazu anzuschauen, bevor man mit der Installation und Konfiguration loslegt, siehe etwa Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.