Die Berechtigungen dieser Zertifikatvorlage lassen nicht zu, dass der aktuelle Benutzer sich für diesen Zertifikattyp einschreibt

    , 25.07.2023, zuletzt aktualisiert am 16.08.2023
    Tags: , ,

    Zertifikat-SymbolWenn man von einer Active Directory-Zertifi­zierungs­stelle ein SSL-Zertifikat anfor­dert, dann kann dieser Vor­gang an einer feh­lenden Berech­tigung für die Vor­lage Webserver oder einem davon abge­leiteten Template scheitern. Irri­tierend ist dieses Problem besonders dann, wenn man einen User mit admini­strativen Privi­legien benutzt.

    Fordert man ein Zertifikat aus certlm.msc oder dem Zertifikat-Snap-in für den lokalen Computer an, dann zeigt der Wizard für die Zertifikat­registrierung in der Liste der ver­fügbaren Vorlagen jene für Webserver oder eine moderne Alternative gar nicht an.

    Zertifikat aus certlm.msc anfordern

    Aktiviert man daraufhin die Checkbox Alle Vorlagen anzeigen, dann sieht man sie zwar, aber ihr Status lautet auf Nicht verfügbar und er wird ergänzt durch die Meldung

    Die Berechtigungen dieser Zertifikatvorlage lassen nicht zu, dass der aktuelle Benutzer sich für diesen Zertifikattyp einschreibt.

    Zeigt man alle Vorlagen an, dann hat das Template Webserver den Status 'Nicht verfügbar'.

    Fordert man das Server-Zertifikat aus certmgr.msc an, dann findet sich dort der Hinweis:

    Die angegebene Funktion wurde für die Anwendung nicht konfiguriert. Dieser Typ von Zertifikat kann nur für einen Computer herausgegeben werden.

    Berechtigung für Computer vergeben

    Diese Fehlermeldung enthält bereits den Hinweis auf die Ursache und die Lösung des Problems. Die fehlende Berechtigung bezieht sich nicht auf den Benutzer, der certlm.msc ausführt, sondern auf den Computer, von dem aus das Zertifikat angefordert wird.

    Entsprechend muss man diesem Rechner die notwendige Berechtigung auf das Template einräumen. Dazu startet man certtmpl.msc und öffnet die Eigenschaften der betreffenden Vorlage. Dort wechselt man zum Reiter Sicherheit und klickt auf Hinzufügen.

    Falls man nur einen einzelnen Computer in die Liste aufnehmen möchte, dann klickt man im nächsten Dialog auf die Schaltfläche Objekttypen und aktiviert dort das Kästchen für Computer.

    Berechtigung auf eine Zertifikatvorlage für einen einzelnen Computer vergeben

    Anschließend kehrt man zum vorherigen Dialog zurück und gibt im entsprechenden Feld den Namen des Computer-Objekts ein.

    In der Regel wird man hier aber eine Gruppe angeben, welche die Computer enthält, die berechtigt werden sollen.

    Sobald der oder die Computer in der Liste auf der Registerkarte Sicherheit erscheinen, markiert man sie und räumt ihnen neben dem Recht für Lesen noch das für Registrieren ein.

    Recht für Registrieren an das Computer-Objekt erteilen

    Nach dem Abschluss dieses Vorgangs sollte der Computer die nötigen Rechte besitzen, so dass bei der nächsten CSR die Webserver-Vorlage mit dem Status Verfügbar in der Liste auftaucht.

    Nach dem Zuweisen der Berechtigung an den lokalen Computer scheint die Vorlage im CSR-Wizard auf.

    Zusammenfassung

    Möchte man ein Server-Zertifikat von einer AD-Zertifizierungsstelle anfordern, dann kann die Vorlage den Status Nicht verfügbar aufweisen, ergänzt um den Hinweis auf fehlende Berechtigungen.

    Diese betreffen aber nicht den Benutzer, sondern den Computer, von dem aus die Anfrage erfolgt. Diesem muss man daher in certtmpl.msc die nötigen Rechte auf die Vorlage einräumen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links