Шаблон сертификата не поддерживается этим CA

При попытке запросить сертификат у Windows CA появляется ошибка Затребованный шаблон сертификата этим ЦС не поддерживается / The requested certificate template is not supported by this CA . В моем случае ошибка появилась при попытке запросить TLS/SSL сертификат для защиты RDP подключений на основе шаблона для серверов RDSH.

При ручном запросе сертификата на основе шаблона через консоль certmgr появляется ошибка:

Request Certificates:
The requested certificate template is not supported by this CA. A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted.

Можно попробовать запросить сертификат на основе шаблона с помощью PowerShell:

$Cert = Get-Certificate -Template "YourTemplateName" -CertStoreLocation "cert:\CurrentUser\My"

При этом появляется ошибка:

Get-Certificate : CertEnroll::CX509Enrollment::InitializeFromTemplateName: Template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)

В Event Viewer эта ошибка выглядит так:

EventID: 1064
Source: Terminalservices-RemoteConnectionManager
The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error occurred: The requested certificate template is not supported by this CA.

Причинами ошибки «The requested certificate template is not supported by this CA» обычно являются:

• Данный шаблон сертификата не опубликован на хосте с центром сертификации. Проверьте, опубликован ли шаблон сертификата, который вы запрашивает (вручную или через GPO) на вашем центре сертификации. Чтобы вывести все доступные шаблоны, выполните команду: certutil –CATemplates . Если нужного шаблона нет в списке, опубликуйте его. Для этого запустите консоль certsrv.msc на вашем CA и выберите Certificate Template -> New -> Certificate template to issue. Также проверьте, что в настройках групповой политики указано корректное имя шаблона сертификата;
• Проверьте, что в настройках шаблона ACL сертификата на вкладке Security вашему объекту разрешено запрашивать сертификат. По умолчанию получение сертификата разрешено для Authentication Users, но эта группа может быть вручную удалена из шаблона. Попробуйте запросить сертификата для учетной записи компьютера:

  certreq -q -machine -enroll YourTemplateName

  Если у учетной записи компьютера нет прав на получение сертификата, появится ошибка:

  Certificate enrollment for Local system could not enroll for a YourTemplateName certificate. A valid certification authority cannot be found to issue this template.

  В этом случае не забудьте предоставить права на шаблон для компьютера, который должен получать сертификат.

• Ваш компьютер не доверяет центру сертификации. В этом случае в логах клиентах должна быть ошибка EventID: The CA certificate XXXXX is not trusted . Убедитесь, что клиенты доверяют вашему CA. Проще всего распространить корневой сертификат центра сертификации на компьютеры домена с помощью GPO.