Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)"

Folgendes Szenario angenommen

  • Es wird eine Zertifikatanforderung an eine Zertifizierungsstelle gesendet.
  • Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:
Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)

Die Zertifizierungsstelle protokolliert das Ereignis Nr. 22:

Active Directory Certificate Services could not process request 166086 due to an error: The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT). The request was for CN=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa. Additional information: Error Parsing Request

Mögliche Ursachen:

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden.

  • Das Feld Antragsteller (Subject) in der Zertifikatanforderung ist identisch mit dem der Zertifizierungsstelle.
  • Ein im Feld Antragsteller (Subject) beantragte RDN (z.B. Common Name) ist länger als erlaubt.
  • Einen Zertifikatanforderung enthält keinerlei Subject-Information (leeres Subject und keinen Subject Alternative Name).

Details: Das Feld Antragsteller (Subject) in der Zertifikatanforderung ist identisch mit dem der Zertifizierungsstelle.

Die Zertifizierungsstelle vergleicht ihren eigenen Antragstellernamen (Subject) mit dem des Antragstellers und lehnt Zertifikatanforderungen, die den Namen der Zertifizierungsstelle beantragen, ab.

Details: Ein im Feld Antragsteller (Subject) beantragte RDN (z.B. Common Name) ist länger erlaubt.

Der Fehler kann auch auftreten, wenn einer der beantragten Relative Distinguished Names (RDN) im Feld Antragsteller zu lang ist. Die Länge der RDNs kann man sich mit folgendem Kommandozeilenbefehl anzeigen lassen:

certutil -v -dump {Zertifikatanforderung}

Microsoft Active Directory Certificate Services begrenzt die Länge für beantragte RDNs auf der Zertifizierungsstelle (im Fall des CN auf 64 Zeichen. Siehe auch Artikel "Erlaubte Relative Distinguished Names (RDNs) im Subject Distinguished Name (DN) ausgestellter Zertifikate"). Dieses Verhalten kann jedoch mit folgendem Kommandozeilenbefehl unterbunden werden:

certutil -setreg ca\EnforceX500NameLengths 0

Anschließend muss der Zertifizierungsstellen-Dienst neu gestartet werden, um die Änderungen zu übernehmen.

Sofern der Common PKI Standard eingesetzt wird, muss beachtet werden, dass dieser die Länge von Relative Distinguished Names (RDNs) auf 64 Zeichen begrenzt.

Ob die Einschränkung derzeit gesetzt ist, kann mit folgendem Kommandozeilenbefehl überprüft werden:

certutil -getreg ca\EnforceX500NameLengths

Für den Subject Alternative Name (SAN) trifft diese Einschränkung nicht zu. Je nach Zertifikattyp (z.B. für SSL) kann es sinnvoll oder sogar erforderlich (siehe RFC 2818) sein, den Subject Alternative Name dem Common Name gegenüber zu bevorzugen.

Weiterführende Links:

Externe Quellen

de_DEDeutsch