Das Szenario

Wir haben eine Stammzertifizierungsstelle in Windows Server 2008 eingerichtet. Die Verbindung zum IIS wurde aktiviert. Damit haben Endnutzer die Möglichkeit, Zertifikate online zu beantragen. Ein solcher Antrag geht beim Verantwortlichen ein, der dann entscheidet, ob er dem Antrag stattgibt und ein Zertifikat ausstellt.

Nach erfolgreichem Setup schlugen unsere Versuche, ein Zertifikat auszustellen, jedoch zunächst immer fehl. Eine Prüfung der Daten im Antrag schien zu bestätigten, dass alle Angaben korrekt an die Zertifizierungsstelle übertragen worden waren. Trotzdem kam es jedesmal beim Ausstellen zum gleichen Fehler.

Der Fehler

Die Zertifizierungsstelle weigerte sich hartnäckig, Zertifikate auszustellen. Der Grund war immer der gleiche: Als Statuscode wurde 0x80094001 zurückgegeben, dessen Bedeutung (auch gleich mitgeliefert) folgendermaßen lautet: Der angeforderte Antragstellername ist ungültig oder zu lang.

Da wir aber bei unseren Tests schließlich so verzweifelt waren, dass wir als Antragstellername einfach ein "a" probiert haben, konnte das nicht wirklich die Ursache für das beobachtete Verhalten sein.

Die Lösung

Dieser Verdacht wurde bestätigt, als nach endloser (und fruchtloser) Diskussion (und zugegebenermaßen langsam einsetzendem generellen Microsoft-Bashing) plötzlich eine Ausstellung gelang. Dies führte binnen Minuten zum Ergebnis, der Fehlerursache und schließlich zur Lösung: auf dem Testrechner hatten wir nicht extra ein neues Browserfenster für die Tests geöffnet und nicht darauf geachtet, mit welchem Browser wir arbeiten - Microsoft-Zertifikate lassen sich über das Web von einer Microsoft-CA eben nur mit einem Microsoft-Browser beantragen - So einfach kann das Leben sein, wenn man keine Microsoft-Konkurrenz-Produkte einsetzt!

Mit schönem Gruß an die EU-Wettbewerbskommissarin, die eine Entflechtung von Browser und Betriebssystem von den Damen und Herren aus Redmond verlangt...