修复：此 CA 不支持请求的证书模板

假设您尝试从 Windows CA 请求证书并收到一条错误消息

The requested certificate template is not supported by this CA

。就我而言，当我尝试使用 RDSH 主机模板请求 TLS/SSL 证书以保护 RDP 连接时，出现了问题。

当我尝试使用模板中的模板手动请求证书时

certmgr

控制台，我收到以下错误：

Request Certificates:
The requested certificate template is not supported by this CA. A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted.

人们可以尝试使用 PowerShell 请求基于模板的证书：

$Cert = Get-Certificate -Template "YourTemplateName" -CertStoreLocation "cert:\CurrentUser\My"

最终出现另一个错误：

Get-Certificate : CertEnroll::CX509Enrollment::InitializeFromTemplateName: Template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)

以下是此错误在事件查看器中的外观：

EventID: 1064
Source: Terminalservices-RemoteConnectionManager
The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error occurred: The requested certificate template is not supported by this CA.

“此 CA 不支持所请求的证书模板”错误的典型原因是：

• 证书模板未在 CA 主机上发布。检查您请求的证书模板（手动或通过 GPO）是否已在您的证书颁发机构上发布。要显示所有可用模板，请运行命令

  certutil -CATemplates

  。如果您想要的模板不在列表中，只需发布即可。为此，请运行命令

  certsrv.msc

  在您的 CA 上，然后转到证书模板 -> 新建 -> 要颁发的证书模板。
  

  

  另外，请确保在组策略设置中指定正确的证书模板名称；

• 检查您的对象是否可以在 ACL 证书模板设置中的安全选项卡上请求证书。虽然默认情况下允许身份验证用户获取证书，但可以手动从模板中删除该组。尝试为计算机帐户请求证书：

  certreq -q -machine -enroll YourTemplateName

  如果计算机帐户没有权限获取证书，则会出现以下错误：

  Certificate enrollment for Local system could not enroll for a YourTemplateName certificate. A valid certification authority cannot be found to issue this template.

  在这种情况下，请务必为应该接收证书的计算机（组）的模板授予权限；

  

• 您的计算机不信任 CA。如果是这种情况，您将在客户端日志中找到相应的错误（EventID：

  The CA certificate XXXXX is not trusted

  ）。确保客户信任您的 CA。最简单的方法是使用 GPO 将 CA 根证书部署到域计算机。