Comment corriger l’erreur « Le modèle de certificat demandé n’est pas pris en charge par cette autorité de certification »

Vous est-il déjà arrivé de rencontrer cette erreur agaçante lors de la demande d’un certificat auprès d’une autorité de certification Windows ? Vous savez, celle qui affiche un point d’interrogationThe requested certificate template is not supported by this CA ? Eh bien, ça peut vraiment perturber. Cela m’est arrivé en essayant d’obtenir un certificat TLS/SSL pour RDP à l’aide d’un modèle RDSH spécifique. Dès que j’ai tenté de demander le certificat manuellement via certmgr, j’ai reçu cette erreur :

Request Certificates: The requested certificate template is not supported by this CA. A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted.

Ensuite, j’ai essayé d’utiliser PowerShell comme Get-Certificatececi :

$Cert = Get-Certificate -Template "YourTemplateName" -CertStoreLocation "cert:\CurrentUser\My"

…ce qui a entraîné une autre erreur :

Get-Certificate : CertEnroll::CX509Enrollment::InitializeFromTemplateName: Template is not supported by this CA.0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)

Et bien sûr, cette erreur est également visible dans l’Observateur d’événements, comme ceci :

EventID: 1064 Source: Terminalservices-RemoteConnectionManager The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error occurred: The requested certificate template is not supported by this CA.

Alors, quelle est la véritable cause de ce problème ? Généralement, il s’agit de paramètres simples, mais souvent négligés. Les principales causes de cette erreur sont :

  • Le modèle de certificat n’est pas publié sur l’autorité de certification. Windows a tendance à masquer les éléments si vous ne les spécifiez pas explicitement. Vous pouvez vérifier les modèles disponibles en exécutant une commande certutil –CATemplatesdans une invite de commandes avec privilèges d’administrateur. Si votre modèle n’y figure pas, c’est qu’il n’est pas publié. Pour résoudre ce problème, ouvrez la console de l’autorité de certificationcertsrv.msc, puis accédez à Modèles de certificats > cliquez avec le bouton droit et choisissez Nouveau > Modèle de certificat à émettre. Assurez-vous que votre modèle apparaît et qu’il est marqué pour l’émission. Vérifiez également que les paramètres de votre stratégie de groupe pointent bien vers le nom du modèle.
  • Les autorisations du modèle de certificat sont incorrectes. Par défaut, certains groupes, comme Utilisateurs d’authentification, peuvent disposer de ces autorisations, mais il est possible qu’elles aient été supprimées manuellement. Pour le vérifier, essayez de demander un certificat pour un compte ordinateur en exécutant la commande correspondante certreq -q -machine -enroll YourTemplateNamedans une invite de commandes avec privilèges élevés. Si cette opération échoue et qu’un message d’erreur indiquant qu’aucune autorité de certification n’est trouvée s’affiche, il s’agit probablement d’un problème d’autorisations. Pour le résoudre, accédez à l’ onglet Modèles de certificats dans certsrv.msc, cliquez avec le bouton droit sur votre modèle et sélectionnez Propriétés. Dans l’ onglet Sécurité, assurez-vous que les groupes appropriés (comme Ordinateurs du domaine ) sont autorisés à s’inscrire. Notez que, sur certaines configurations, les autorisations peuvent être trop restrictives et empêcher les utilisateurs ou les ordinateurs de demander des certificats.

Dans certains cas, il suffit de publier correctement le modèle et d’attribuer les autorisations adéquates. Parfois, une simple actualisation de la liste des modèles certutil –CATemplateset une nouvelle publication suffisent à résoudre le problème. Attention également à l’orthographe du nom du modèle de certificat : une faute de frappe peut aussi provoquer des erreurs silencieuses.

Quoi que vous fassiez, assurez-vous que le modèle est publié et approuvé par votre autorité de certification, et que l’objet demandeur (utilisateur ou ordinateur) dispose des autorisations nécessaires. C’est presque toujours à ce niveau que se situent ces erreurs. Enfin, si l’autorité de certification vient d’être reconstruite ou mise à jour, vérifiez que le modèle est toujours compatible et disponible.

Résumé

  • Vérifiez si le modèle est publié aveccertutil –CATemplates
  • Sinon, publiez-le via certsrv.msc
  • Vérifiez les autorisations du modèle dans certsrv.msc, sous Sécurité.
  • Assurez-vous que le nom corresponde exactement à celui de votre demande.
  • Effectuez un test avec un compte ordinateur si nécessaire, en utilisantcertreq

Conclure

Ce problème est assez fréquent lorsqu’on utilise des modèles personnalisés ou de nouvelles configurations. En général, il s’agit d’un problème de publication et d’autorisations, des détails qu’on peut facilement négliger dans la précipitation. Une fois ces points réglés, les demandes sont généralement traitées sans problème. J’espère que cette solution permettra à certains d’éviter bien des tracas.Ça a fonctionné pour moi ; j’espère que ça fonctionnera pour vous aussi.