Certificate Templates

From Frotmail Projects
Jump to navigation Jump to search

Bijzonderheden met betrekking tot Microsoft Certificate Services

Wanneer, bij een aanvraag, de juiste certificaat templates niet zichtbaar zijn kunnen er verschillende zaken spelen:

Template niet ingeschakeld

Door te kijken welke certificaat templates zijn ingeschakeld kan het probleem mogelijk al gevonden zijn:

C:\Users\Administrator>certutil -catemplates
RASAndIASServer: RAS and IAS Server -- Auto-Enroll: Access is denied.
DirectoryEmailReplication: Directory Email Replication -- Auto-Enroll: Access is
 denied.
DomainControllerAuthentication: Domain Controller Authentication -- Auto-Enroll:
 Access is denied.
EFSRecovery: EFS Recovery Agent -- Auto-Enroll: Access is denied.
EFS: Basic EFS -- Auto-Enroll: Access is denied.
DomainController: Domain Controller -- Auto-Enroll: Access is denied.
WebServer: Web Server -- Auto-Enroll: Access is denied.
Machine: Computer -- Auto-Enroll: Access is denied.
User: User -- Auto-Enroll: Access is denied.
SubCA: Subordinate Certification Authority -- Auto-Enroll: Access is denied.
Administrator: Administrator -- Auto-Enroll: Access is denied.
CertUtil: -CATemplates command completed successfully. 

Als het template dat je verwacht niet niet actief is kan hier mogelijk een oorzaak liggen

templates verwijderen doe je met de -

C:\Users\Administrator>certutil -SetCATemplates -EFS
EFS: Removing
CertUtil: -SetCATemplates command completed successfully.

en toevoegen met de +

C:\Users\Administrator>certutil -SetCATemplates +EFS
EFS: Adding
CertUtil: -SetCATemplates command completed successfully.

Rechten

In het geval waar ik tegen dit probleem aan liep was er sprake van een domain trust tussen een root en child domain. Omdat het template alleen rechten had toegekend aan een bepaalde groep moesten deze rechten worden aangepast zodat ook de groep van het child domain rechten kreeg.

Template opties icm web enrollment

Indien je via web enrollment een bepaalde template niet ziet kan dit worden opgelost door te kijken naar het tabje subject-name en daar 'Build from this Active Directory information' om te zetten naar 'Supply in the request'

Aanvraag via IIS

http://sr-4015.vitens.lan/certsrv/

Daar kan je dan ook je certificaat ophalen nadat hij is geissued

Aanvraag via MMC

Unless you have enabled the certificate template to enable autoenrollment, the user is not notified of issuance in the Certificates MMC console.

It is recommended to request pended certificates via the Web enrollment Web pages, as they implement a cookie so that the client can track the status of the pending certificate request.

You still can complete the request at the client computer, if you look up the request ID at the CA. Once the request ID is known, the user must type the following commands (assuming you are running Windows XP at the client)

certreq -retrieve <requestID> <certfile.cer>

This retrieve the issued certificate for requestID into the file certfile.cer

Then the user must type:

certreq -accept <certfile.cer>

This place the certificate into the current user's store and associates the certificate with the key pair generated when the request was submitted to the CA.