La demande de certificat échoue avec le message d'erreur „The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)“.“

Supposons le scénario suivant :

• Une tentative de demande de certificat auprès d'une autorité de certification intégrée à Active Directory (Enterprise CA) pour un utilisateur ou un ordinateur est en cours.
• La demande de certificat échoue avec le message d'erreur suivant :

The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE).

Il convient ici de distinguer deux états :

• La demande de certificat arrive à l'autorité de certification et y est refusée
• La demande de certificat n'arrive pas à l'autorité de certification

La demande de certificat arrive à l'autorité de certification et y est refusée

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Sur l'ordinateur, le Événement n° 13 avec le même code d'erreur.

L'organisme de certification va Événement n° 53 avec le même code d'erreur.

Cause

Lors de la demande d'un certificat via MMC, l'utilisateur n'a pas la possibilité de choisir l'autorité de certification à utiliser après avoir sélectionné le modèle de certificat. L'information selon laquelle l'autorité de certification propose le modèle de certificat est obtenue à partir de l'objet pKIEnrollmentService dans l'Active Directory.

Si l'autorité de certification affirme maintenant ne pas connaître le modèle de certificat, c'est en général parce qu'elle ne dispose pas des droits de lecture sur le modèle de certificat.

Par défaut, l'autorité de certification obtient le droit de lecture grâce à l'entrée pour „Authenticated Users“ dans les paramètres de sécurité du modèle de certificat.

La demande de certificat n'arrive pas à l'autorité de certification

Même si le code d'erreur CERTSRV_E_UNSUPPORTED_CERT_TYPE le suggère, il existe aussi le cas où la demande de certificat n'est même pas envoyée par le client qui l'a demandée.

Un exemple de demande de certificat ressemblerait à ceci (voir aussi l'article „Dépannage de la demande automatique de certificat (auto-enrollment) via RPC/DCOM„):

certreq -q -machine -enroll ADCSLaborComputer

Si l'on augmente le niveau de journalisation sur le client demandeur, on verra entre autres le Événement n° 47 de l'école.

Certificate enrollment for Local system could not enroll for a ADCSLaborComputer certificate. A valid certification authority cannot be found to issue this template.

Un tel comportement peut avoir les causes suivantes :

• Un modèle de certificat a été indiqué, qui n'a été publié sur aucune autorité de certification (attention ici aussi aux fautes de frappe).
• Le client demandeur ne fait pas confiance à l'autorité de certification qui propose le modèle de certificat.

Détails : le client demandeur ne fait pas confiance à l'autorité de certification qui propose le modèle de certificat.

Dans ce cas, le Événement n° 52 sont consignées.

The CA certificate for ADCS Labor Issuing CA 1 is not trusted. Certificate enrollment for Local system for a ADCSLaborComputer certificate failed.

Cela peut arriver,

• si le certificat d'autorité de certification racine de la hiérarchie n'est pas enregistré dans la liste locale des certificats d'autorité de certification racine de confiance,
• mais aussi lorsque l'on fait confiance au certificat d'autorité racine mais que la chaîne de certificats ne peut pas être complétée, par exemple parce qu'il est impossible d'accéder au point de distribution Authority Information Access (AIA) en raison de l'absence d'une règle de pare-feu (pour le port 80/TCP). Se produit en particulier dans les hiérarchies d'autorités de certification à trois niveaux ou plus.

Liens complémentaires :

• Bases de la demande manuelle et automatique de certificats via Lightweight Directory Access Protocol (LDAP) et Remote Procedure Call / Distributed Common Object Model (RPC/DCOM)

Sources externes :

• Le modèle demandé n'est pas pris en charge par cette CA. (Erreur 0x80094800) (PKI Solutions, Inc.)