Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)“

Scénario suivant

• Es wird eine Zertifikatanforderung an eine Zertifizierungsstelle gesendet.
• La demande de certificat échoue avec le message d'erreur suivant :

Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)

Die Zertifizierungsstelle protokolliert das Événement n° 22:

Active Directory Certificate Services could not process request 166086 due to an error: The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT). The request was for CN=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa. Additional information: Error Parsing Request

Causes possibles :

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

• Das Feld Antragsteller (Subject Distinguished Name) in der Zertifikatanforderung ist identisch mit dem der Zertifizierungsstelle.
• Ein im Feld Antragsteller (Subject Distinguished Name) beantragter Relative Distinguished Name (RDN) ist länger als erlaubt
• Eine Zertifikatanforderung enthält keinerlei Subject-Information (leerer Subject Distinguished Name und keinen Subject Alternative Name)

Details: Das Feld Antragsteller (Subject) in der Zertifikatanforderung ist identisch mit dem der Zertifizierungsstelle

Die Zertifizierungsstelle vergleicht ihren eigenen Antragstellernamen (Subject) mit dem des Antragstellers und lehnt Zertifikatanforderungen, die den Namen der Zertifizierungsstelle beantragen, ab.

Details: Ein im Feld Antragsteller (Subject Distinguished Name) beantragter Relative Distinguished Name (RDN) ist länger als erlaubt

Der Fehler kann auch auftreten, wenn einer der beantragten Relative Distinguished Names (RDN) im Feld Antragsteller zu lang ist. Die Länge der RDNs kann man sich mit folgendem Kommandozeilenbefehl anzeigen lassen:

certutil -v -dump {Zertifikatanforderung}

Microsoft Active Directory Certificate Services begrenzt die Länge für beantragte RDNs auf der Zertifizierungsstelle (im Fall des CN auf 64 Zeichen. Siehe auch Artikel „Noms distinctifs relatifs (RDN) autorisés dans le Subject Distinguished Name (DN) des certificats délivrés„). Dieses Verhalten kann jedoch mit folgendem Kommandozeilenbefehl unterbunden werden:

certutil -setreg ca\EnforceX500NameLengths 0

Anschließend muss der Zertifizierungsstellen-Dienst neu gestartet werden, um die Änderungen zu übernehmen.

Sofern der Infrastructure à clés publiques commune Standard eingesetzt wird, muss beachtet werden, dass dieser die Länge von Relative Distinguished Names (RDNs) auf 64 Zeichen begrenzt.

Ob die Einschränkung derzeit gesetzt ist, kann mit folgendem Kommandozeilenbefehl überprüft werden:

certutil -getreg ca\EnforceX500NameLengths

Für den Subject Alternative Name (SAN) trifft diese Einschränkung nicht zu. Je nach Zertifikattyp (z.B. für SSL) kann es sinnvoll oder sogar erforderlich (siehe RFC 2818) sein, den Subject Alternative Name dem Common Name gegenüber zu bevorzugen.

Details: Eine Zertifikatanforderung enthält keinerlei Subject-Information (leerer Subject Distinguished und keinen Subject Alternative Name)

Enthält eine Zertifikatanforderung keinerlei Identitätsinformation, tritt diese Fehlermeldung ebenfalls auf.

Dieses Phänomen kann auch in Verbindung mit Mobile Device Management (MDM) Systemen auftreten, wenn einem verwalteten Gerät kein gültiger Benutzer zugewiesen ist. Konkret habe ich dieses Verhalten mit Gestion de la mobilité d'entreprise Baramundi beobachten können.

Ermitteln kann man dies durch Export der Zertifikatanforderung aus der Zertifizierungsstellen-Datenbank und anschließendem Anzeigen der ASN.1 kodierten Rohdaten mit folgendem Befehl.

certutil -asn {Dateiname}

Zum Vergleich eine Zertifikatanforderung, welche einen leeren commonName enthält.

Liens complémentaires :

• Génération d'une demande de certificat conforme à la RFC 2818 pour les certificats SSL
• Description des paramètres de configuration nécessaires pour le profil de certificat "Common PKI".
• Noms distinctifs relatifs (RDN) autorisés dans le Subject Distinguished Name (DN) des certificats délivrés

Sources externes

• Request for Certificate Is Denied and a „The Request Subject Name Is Invalid or Too Long“ Error Message Occurs (Microsoft)
• RFC 2818 - HTTP sur TLS (Internet Engineering Task Force)