Archive

Archive for the ‘templates’ Category

Error 0×80094800 "The requested certificate template is not supported by this CA"

April 23rd, 2009 Comments off

One very common reason to this issue is that the CA is not able to read the content of the template; this is often because the authenticated users group has been removed from the ACL list of the template. To solve this without reusing the authenticated users group you can give the computer account of your CA read permissions to the specific template.

If the above is not true, make sure the templates is listen in the templates to issue for your CA and that the template is available throughout your Active Directory.

/Hasain

Categories: ADCS, templates Tags:

Utöka giltighetstiden på en V1 mall i Windows 2003

October 16th, 2007 Comments off

En av föredelarna med att köra sin CA på en Windows Server 2003 Ent. Edition är att kunna utfärda certifikat med anpassade inställningar genom att kunna utnyttja v2 certifikat mallar. De flesta som jag har varit i kontakt med vill ha v2 mallar för att utöka giltighetstiden på ett certifikat.

Om man nu inte har en Windows server 2003 Ent. Edition men vill gärna få exempelvis ett smart card logon certifikat att gälla i tre eller fyra år så kan man pröva följande:

  1. Använd certtmpl.msc för att skapa en kopia av någon av mallarna som finns i lista, ta exempelvis user mallen och skapa en kopia av den
  2. Justera tiden till önskad inställning, exempelvis 3 år
  3. Använd adsiedit.msc för att plocka fram den nya mallen som finns under Configuration/Services/Public Key Services/Certificate Templates
  4. Leta nu efter pKIExpirationPeriod bland attributen för mallen
  5. kopiera nu värdet av detta attribut, bör linka detta: 00 00 E5 1C BA 84 FB FF
  6. Plocka fram den v1 mall som du vill utöka tiden på
  7. Leta nu efter pKIExpirationPeriod bland attributen för mallen
  8. Editera den och klistra in värden som du kopierade från förra mallen
  9. Nu har du en v1 mall som gäller i 3 år :)

Din CA kommer inte att tycka att detta är något fel, mallen är ju en v1 mall med lite längre giltighetstid men glöm nu inte att se till att din CA kan utfärda certifikat som gäller mer än standard tiden på 2 år genom at ändra nycklarna

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc
\Configuration\ CA xxx
\
ValidityPeriod

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc
\Configuration\ CA xxx
\
ValidityPeriodUnits

 

Detta bör fungera utan problem i de flesta system…

/Hasain