Supposons le scénario suivant :
- On tente de demander des certificats à l'aide de l'algorithme ML-DSA.
- La demande échoue avec le message d'erreur suivant :
The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
Je nachdem, wie man die Beantragung vorgenommen hat, findet man das Événement avec ID 13 de la source Microsoft-Windows-CertificateServicesClient-CertEnroll im Ereignisprotokoll des Client.

Versucht man eine Beantragung über die Microsoft Management Console (MMC), wird man die Fehlermeldung auch dort wiederfinden.
Wenn wir genau aufpassen, sehen wir, dass keine Metainformationen angezeigt werden. Der „Properties“ Button hat keine Beschriftung und kann auch nicht angeklickt werden.

Cause
Offenbar ist Microsoft mit dem Juli 2026 ein Lapsus unterlaufen (ob es an der Nutzung von KI liegt?).
Wenn wir uns den Konfigurations-Dialog für die zugrundeliegende Zertifikatvorlage ansehen, fällt uns auf, dass die minimale Schlüsselgröße mit 1048576 – auch für ML-DSA – auffallend groß ist. Sie passt auch nicht mit der Microsoft-Dokumentation überein.

Wenn wir die Zertifikatvorlage mit dem ADSI-Editor (adsiedit.msc) bearbeiten (CN=Public Key Services,CN=Services,CN=Configuration…), und das msPKI-Minimal-Key-Size bearbeiten.


| Algorithme | Schlüssellänge |
|---|---|
| ML-DSA:44 | 10496 Bit (1312 Byte) |
| ML-DSA:65 | 15616 Bit (1952 Byte) |
| ML-DSA:87 | 20736 Bit (2592 Byte) |
