Folgendes Szenario angenommen:
- Man versucht, Zertifikate mit dem ML-DSA Algorithmus zu beantragen.
- Die Beantragung schlägt mit folgender Fehlermeldung fehl:
The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
Je nachdem, wie man die Beantragung vorgenommen hat, findet man das Ereignis mit ID 13 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll im Ereignisprotokoll des Client.

Versucht man eine Beantragung über die Microsoft Management Console (MMC), wird man die Fehlermeldung auch dort wiederfinden.
Wenn wir genau aufpassen, sehen wir, dass keine Metainformationen angezeigt werden. Der "Properties" Button hat keine Beschriftung und kann auch nicht angeklickt werden.

Ursache
Offenbar ist Microsoft mit dem Juli 2026 ein Lapsus unterlaufen (ob es an der Nutzung von KI liegt?).
Wenn wir uns den Konfigurations-Dialog für die zugrundeliegende Zertifikatvorlage ansehen, fällt uns auf, dass die minimale Schlüsselgröße mit 1048576 – auch für ML-DSA – auffallend groß ist. Sie passt auch nicht mit der Microsoft-Dokumentation überein.

Wenn wir die Zertifikatvorlage mit dem ADSI-Editor (adsiedit.msc) bearbeiten (CN=Public Key Services,CN=Services,CN=Configuration…), und das msPKI-Minimal-Key-Size bearbeiten.


| Algorithmus | Schlüssellänge |
|---|---|
| ML-DSA:44 | 10496 Bit (1312 Byte) |
| ML-DSA:65 | 15616 Bit (1952 Byte) |
| ML-DSA:87 | 20736 Bit (2592 Byte) |
