Folgendes Szenario angenommen
- Es wird eine Zertifikatanforderung an eine Zertifizierungsstelle gesendet.
- Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:
Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)
Die Zertifizierungsstelle protokolliert das Ereignis Nr. 22:
Active Directory Certificate Services could not process request 166086 due to an error: The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT). The request was for CN=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa. Additional information: Error Parsing Request
Mögliche Ursachen:
- Das Feld Antragsteller (Subject) in der Zertifikatanforderung ist identisch mit dem der Zertifizierungsstelle.
- Ein im Feld Antragsteller (Subject) beantragte RDN (z.B. Common Name) ist länger als erlaubt.
- Einen Zertifikatanforderung enthält keinerlei Subject-Information (leeres Subject und keinen Subject Alternative Name).
Details: Das Feld Antragsteller (Subject) in der Zertifikatanforderung ist identisch mit dem der Zertifizierungsstelle.
Die Zertifizierungsstelle vergleicht ihren eigenen Antragstellernamen (Subject) mit dem des Antragstellers und lehnt Zertifikatanforderungen, die den Namen der Zertifizierungsstelle beantragen, ab.
Details: Ein im Feld Antragsteller (Subject) beantragte RDN (z.B. Common Name) ist länger erlaubt.
Der Fehler kann auch auftreten, wenn einer der beantragten Relative Distinguished Names (RDN) im Feld Antragsteller zu lang ist. Die Länge der RDNs kann man sich mit folgendem Kommandozeilenbefehl anzeigen lassen:
certutil -v -dump {Zertifikatanforderung}
Microsoft Active Directory Certificate Services begrenzt die Länge für beantragte RDNs auf der Zertifizierungsstelle (im Fall des CN auf 64 Zeichen. Siehe auch Artikel "Erlaubte Relative Distinguished Names (RDNs) im Subject Distinguished Name (DN) ausgestellter Zertifikate"). Dieses Verhalten kann jedoch mit folgendem Kommandozeilenbefehl unterbunden werden:
certutil -setreg ca\EnforceX500NameLengths 0
Anschließend muss der Zertifizierungsstellen-Dienst neu gestartet werden, um die Änderungen zu übernehmen.
Sofern der Common PKI Standard eingesetzt wird, muss beachtet werden, dass dieser die Länge von Relative Distinguished Names (RDNs) auf 64 Zeichen begrenzt.
Ob die Einschränkung derzeit gesetzt ist, kann mit folgendem Kommandozeilenbefehl überprüft werden:
certutil -getreg ca\EnforceX500NameLengths
Für den Subject Alternative Name (SAN) trifft diese Einschränkung nicht zu. Je nach Zertifikattyp (z.B. für SSL) kann es sinnvoll oder sogar erforderlich (siehe RFC 2818) sein, den Subject Alternative Name dem Common Name gegenüber zu bevorzugen.
Weiterführende Links:
- Erzeugen einer RFC 2818 konformen Zertifikatanforderung für SSL Zertifikate
- Beschreibung der notwendigen Konfigurationseinstellungen für das "Common PKI" Zertifikatprofil
- Erlaubte Relative Distinguished Names (RDNs) im Subject Distinguished Name (DN) ausgestellter Zertifikate
Externe Quellen
- Request for Certificate Is Denied and a "The Request Subject Name Is Invalid or Too Long" Error Message Occurs (Microsoft)
- RFC 2818 – HTTP Over TLS (Internet Engineering Task Force)
4 Gedanken zu „Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)"“
Kommentare sind geschlossen.