La demande de certificats utilisant des clés basées sur ML-DSA échoue et génère le message d'erreur suivant : „ The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER) “

Supposons le scénario suivant :

  • On tente de demander des certificats à l'aide de l'algorithme ML-DSA.
  • La demande échoue avec le message d'erreur suivant :
The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

Je nachdem, wie man die Beantragung vorgenommen hat, findet man das Événement avec ID 13 de la source Microsoft-Windows-CertificateServicesClient-CertEnroll im Ereignisprotokoll des Client.

Versucht man eine Beantragung über die Microsoft Management Console (MMC), wird man die Fehlermeldung auch dort wiederfinden.

Wenn wir genau aufpassen, sehen wir, dass keine Metainformationen angezeigt werden. Der „Properties“ Button hat keine Beschriftung und kann auch nicht angeklickt werden.

Cause

Offenbar ist Microsoft mit dem Juli 2026 ein Lapsus unterlaufen (ob es an der Nutzung von KI liegt?).

Wenn wir uns den Konfigurations-Dialog für die zugrundeliegende Zertifikatvorlage ansehen, fällt uns auf, dass die minimale Schlüsselgröße mit 1048576 – auch für ML-DSA – auffallend groß ist. Sie passt auch nicht mit der Microsoft-Dokumentation überein.

Wenn wir die Zertifikatvorlage mit dem ADSI-Editor (adsiedit.msc) bearbeiten (CN=Public Key Services,CN=Services,CN=Configuration…), und das msPKI-Minimal-Key-Size bearbeiten.

AlgorithmeSchlüssellänge
ML-DSA:4410496 Bit (1312 Byte)
ML-DSA:6515616 Bit (1952 Byte)
ML-DSA:8720736 Bit (2592 Byte)

Liens complémentaires :

Sources externes

fr_FRFrançais