Ошибка 0x80094812 при выпуске сертификата

09.04.2019   Active directory, GPO, CA   No comments

Обновлено 09.04.2019

sslДобрый день! Уважаемые читатели и гости IT портала Pyatilistnik.org. В прошлый раз мы с вами решили проблему со сбойным оборудованием, которое выдавало код 10 в своем статусе работы. Сегодня мы вернемся к тебе безопасности и сертификатам. В данной заметке мы рассмотрим ситуацию, когда при попытке запросить новый сертификат пользователя выскакивает ошибка с кодом 0x80094812. Давайте научимся ее устранять и диагностировать.

Описание проблемы

одному пользователю нужно было выпустить сертификат безопасности для того, чтобы он мог авторизовываться на VPN-сервере. Человек запрашивает шаблон сертификата из оснастки certmgr.msc, но на шаге регистрации сертификата у него выскакивает вот такая ошибка:

Имя электронной почты недоступно и его невозможно добавить в имя субъекта или в дополнительное имя субъекта (The email name is not available and cannot be added to the subject name or to a secondary name of the subject.). 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). Denied by Policy Module. 

Ошибка 0x80094812

Тут в ошибке сразу идет и подсказка, а именно первым делом вам необходимо проверить из оснастки ADUC, есть ли у пользователя заполненное поле Email, так как его наличие является обязательным требованием в данном шаблоне, на основании которого вы пытаетесь произвести выпуск и регистрацию сертификата. Напоминаю, что посмотреть это можно в оснастке управления шаблонами в центре сертификации Windows. На вкладке "Имя субъекта", есть галка "Включить имя электронной почты".

включить имя электронной почты

В разделе "неудачные запросы (Failed Requests)" вы можете видеть такие запросы (The email name is not available and cannot be added to the subject name or to a secondary name of the subject 0x80094812)

Неудачные запросы выдачи сертификата

У меня есть тестовая учетная запись "Барбоскина Геннадия Викторовича", как видите поле "Эл. почта" у меня не заполнено. Укажите тут нужный адрес электронной почты, который будет фигурировать в сертификате.

Свойства пользователя в AD

Если у вас тут все прописано и у вас не один контроллер домена, может быть и несколько сайтов или доменов в лесу, то возможно еще не прошла репликация или есть с ней проблемы. Я вам советую проверить репликацию в вашей Active Directory, а так же можно вручную запустить для ускорения процесса. Так же советую изучать логи Windows на контроллере домена и на центре сертификации. В логах CA вы можете обнаружить события с кодом ID 13 и 6. На этом у меня все, с вами был Иван Семин, автор и разработчик IT портала Pyatilistnik.org. Всем пока.

Популярные Похожие записи:

Автор - Сёмин Иван

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *