Delen via

Certificaatintrekkingslijst op basis van Microsoft Entra-certificaten (CRL)

Een certificaatintrekkingslijst (CRL) is een lijst met certificaten die zijn ingetrokken door de verlenende certificeringsinstantie (CA) vóór de geplande vervaldatum. CRL's zijn essentieel voor het onderhouden van verificatie-integriteit. Wanneer een certificaat wordt ingetrokken, wordt het gemarkeerd als niet-vertrouwd, zelfs als dit niet is verlopen. Het opnemen van CRL's in verificatie op basis van certificaten zorgt ervoor dat alleen geldige, niet-ingetrokken certificaten worden geaccepteerd en Microsoft Entra ID blokkeert elke poging met behulp van een ingetrokken certificaat.

CRL's worden digitaal ondertekend door de CA en gepubliceerd naar openbaar toegankelijke locaties, zodat ze via internet kunnen worden gedownload om de intrekkingsstatus van certificaten te controleren. Wanneer een client een certificaat voor verificatie presenteert, controleert het systeem de CRL om te bepalen of het certificaat is ingetrokken.

Als het certificaat wordt gevonden in de CRL, wordt de verificatiepoging geweigerd. CRL's worden meestal periodiek bijgewerkt en organisaties moeten ervoor zorgen dat ze de nieuwste versie van de CRL hebben om nauwkeurige beslissingen te nemen over de geldigheid van certificaten.

In Microsoft Entra-verificatie op basis van certificaten (CBA), wanneer CBA's zijn geconfigureerd, moet het systeem de CRL ophalen en valideren tijdens de verificatie. Als Microsoft Entra-id geen toegang heeft tot het CRL-eindpunt, mislukt de verificatie omdat de CRL is vereist om de geldigheid van het certificaat te bevestigen.

Hoe een CRL werkt in verificatie op basis van certificaten

Een CRL werkt door een mechanisme te bieden voor het controleren van de geldigheid van certificaten die worden gebruikt voor verificatie. Het proces omvat verschillende belangrijke stappen:

  • Certificaatuitgifte: Wanneer een certificaat wordt uitgegeven door een CA, is het geldig tot de vervaldatum, tenzij het eerder is ingetrokken. Elk certificaat bevat een openbare sleutel en is ondertekend door de CA.

  • Intrekking: Als een certificaat moet worden ingetrokken (bijvoorbeeld als de persoonlijke sleutel is aangetast of het certificaat niet meer nodig is), voegt de CA het toe aan de CRL.

  • CRL-distributie: De CA publiceert de CRL naar een locatie die toegankelijk is voor clients, zoals een webserver of adreslijstservice. De CRL wordt doorgaans ondertekend door de CA om de integriteit ervan te waarborgen. Als de CRL niet is ondertekend door de CA, wordt er een cryptografiefout AADSTS2205015 gegenereerd en volgt u de stappen in veelgestelde vragen om het probleem op te lossen.

  • Clientcontrole: Wanneer een client een certificaat voor verificatie presenteert, haalt het systeem de CRL voor elke CA in de certificaatketen op van de gepubliceerde locaties en controleert het op eventuele ingetrokken CA's. Als een CRL-locatie niet beschikbaar is, mislukt de verificatie omdat het systeem de intrekkingsstatus van het certificaat niet kan verifiëren.

  • Authenticatie: Als het certificaat wordt gevonden in de CRL, wordt de verificatiepoging geweigerd en wordt de client de toegang geweigerd. Als het certificaat zich niet in de CRL bevindt, wordt de verificatie normaal uitgevoerd.

  • CRL-updates: De CRL wordt periodiek bijgewerkt door de CA en clients moeten ervoor zorgen dat ze de nieuwste versie hebben om nauwkeurige beslissingen te nemen over de geldigheid van certificaten. Het systeem slaat de CRL gedurende een bepaalde periode in de cache op om het netwerkverkeer te verminderen en de prestaties te verbeteren, maar controleert ook regelmatig op updates.

Informatie over het certificaatintrekkingsproces in verificatie op basis van Microsoft Entra-certificaten

Met het certificaatintrekkingsproces kunnen beheerders van verificatiebeleid een eerder uitgegeven certificaat intrekken, zodat het niet kan worden gebruikt voor toekomstige verificatie.

Beheerders van verificatiebeleid configureren het CRL-distributiepunt tijdens het installatieproces voor vertrouwde verleners in de Microsoft Entra-tenant. Elke vertrouwde verlener moet een CRL hebben waarnaar u kunt verwijzen met behulp van een internetgerichte URL. Zie Certificeringsinstanties configureren voor meer informatie.

Microsoft Entra ID ondersteunt slechts één CRL-eindpunt en ondersteunt alleen HTTP of HTTPS. We raden u aan HTTP te gebruiken in plaats van HTTPS voor CRL-distributie. CRL-controles vinden plaats tijdens verificatie op basis van certificaten en eventuele vertragingen of fouten bij het ophalen van de CRL kunnen verificatie blokkeren. Het gebruik van HTTP minimaliseert latentie en voorkomt potentiële kringafhankelijkheden die worden veroorzaakt door HTTPS (waarvoor zelf certificaatvalidatie is vereist). Om de betrouwbaarheid te garanderen, host u CRL's op maximaal beschikbare HTTP-eindpunten en controleert u of deze toegankelijk zijn via internet.

Belangrijk

De maximale grootte van een CRL voor Microsoft Entra-id voor het downloaden van een interactieve aanmelding is 20 MB in openbare Microsoft Entra-id en 45 MB in Azure US Government-clouds. De tijd die nodig is om de CRL te downloaden mag niet langer zijn dan 10 seconden. Als Microsoft Entra-id een CRL niet kan downloaden, mislukken verificaties op basis van certificaten met behulp van certificaten die zijn uitgegeven door de bijbehorende CA. Het is een best practice om CRL-bestanden binnen de groottelimieten te houden, de levensduur van certificaten binnen redelijke grenzen te houden en verlopen certificaten op te schonen.

  1. Wanneer een gebruiker een interactieve aanmelding met een certificaat uitvoert, downloadt en slaat Microsoft Entra ID de certificaatintrekkingslijst (CRL) van de klant op bij de certificeringsinstantie om te controleren of certificaten worden ingetrokken tijdens de verificatie van de gebruiker. Microsoft Entra maakt gebruik van het kenmerk SubjectKeyIdentifier in plaats van SubjectName om de certificaatketen te bouwen. Wanneer CRL's zijn ingeschakeld, moeten PKI-configuraties SubjectKeyIdentifier- en Authority Key Identifier-waarden bevatten om de juiste intrekkingscontrole te garanderen.

    SubjectKeyIdentifier biedt een unieke, onveranderbare id voor de openbare sleutel van het certificaat, waardoor deze betrouwbaarder is dan SubjectName, die kan worden gewijzigd of gedupliceerd tussen certificaten. Dit kenmerk zorgt voor nauwkeurige ketenbouw en consistente CRL-validatie in complexe PKI-omgevingen.

    Belangrijk

    Als een verificatiebeleidsbeheerder de configuratie van de CRL overslaat, voert Microsoft Entra-id geen CRL-controles uit tijdens de verificatie op basis van certificaten van de gebruiker. Dit gedrag kan nuttig zijn voor de eerste probleemoplossing, maar moet niet worden overwogen voor productiegebruik.

    • Alleen basis-CRL: als alleen de basis-CRL is geconfigureerd, wordt deze door Microsoft Entra ID gedownload en in de cache opgeslagen tot de tijdstempel volgende update. Verificatie mislukt als de CRL is verlopen en niet kan worden vernieuwd vanwege connectiviteitsproblemen of als het CRL-eindpunt geen bijgewerkte versie biedt. Microsoft Entra dwingt CRL-versiebeheer strikt af: wanneer een nieuwe CRL wordt gepubliceerd, moet het CRL-nummer hoger zijn dan de vorige versie.

      CRL Number zorgt voor monotone versiebeheer, waardoor herhalingsaanvallen worden voorkomen waarbij een oudere CRL opnieuw kan worden geïntroduceerd om intrekkingscontroles te omzeilen. Door te vereisen dat elke nieuwe CRL een hoger versienummer heeft, garandeert Microsoft Entra ID dat de meest recente intrekkingsgegevens altijd worden gebruikt.

    • Base + Delta CRL: wanneer beide zijn geconfigureerd, moeten beide geldig en toegankelijk zijn. Als een van beide ontbreekt of is verlopen, mislukt de certificaatvalidatie volgens RFC 5280-standaarden.

  2. De verificatie op basis van certificaten van gebruikers mislukt als een CRL is geconfigureerd voor de vertrouwde verlener en Microsoft Entra-id de CRL niet kan downloaden vanwege beschikbaarheid, grootte of latentiebeperkingen. Deze beperking maakt het CRL-eindpunt een kritiek single point of failure, waardoor de tolerantie van de verificatie op basis van certificaten van Microsoft Entra ID wordt verminderd. Om dit risico te beperken, raden we u aan maximaal beschikbare oplossingen te gebruiken die zorgen voor continue uptime voor CRL-eindpunten.

  3. Als de CRL de interactieve limiet voor een cloud overschrijdt, mislukt de initiële aanmelding van de gebruiker met de volgende fout:

    The Certificate Revocation List (CRL) downloaded from {uri} has exceeded the maximum allowed size ({size} bytes) for CRLs in Microsoft Entra ID. Try again in few minutes. If the issue persists, contact your tenant administrators.

  4. Microsoft Entra ID probeert de CRL te downloaden die onderhevig is aan de limieten aan de servicezijde (45 MB in openbare Microsoft Entra-id en 150 MB in Azure voor de Amerikaanse overheid).

  5. Gebruikers kunnen de verificatie na enkele minuten opnieuw proberen. Als het certificaat van de gebruiker is ingetrokken en wordt weergegeven in de CRL, mislukt de verificatie.

    Belangrijk

    Het intrekken van tokens voor een ingetrokken certificaat is niet direct vanwege CRL-caching. Als een CRL al in de cache is opgeslagen, worden nieuw ingetrokken certificaten pas gedetecteerd wanneer de cache wordt vernieuwd met een bijgewerkte CRL. Delta-CRL's bevatten doorgaans deze updates, dus intrekking wordt van kracht zodra de delta-CRL is geladen. Als delta-CRL's niet worden gebruikt, is intrekking afhankelijk van de geldigheidsperiode van de basis-CRL. Beheerders moeten tokens alleen handmatig intrekken wanneer onmiddellijke intrekking essentieel is, zoals in scenario's met hoge beveiliging. Zie Intrekking configureren voor meer informatie.

  6. We bieden geen ondersteuning voor OCSP (Online Certificate Status Protocol) vanwege prestatie- en betrouwbaarheidsredenen. In plaats van de CRL te downloaden bij elke verbinding door de clientbrowser voor OCSP, downloadt Microsoft Entra ID deze eenmaal bij de eerste aanmelding en slaat deze in de cache op. Deze actie verbetert de prestaties en betrouwbaarheid van CRL-verificatie. We indexeren de cache ook, zodat de zoekopdracht veel sneller verloopt telkens.

  7. Als Microsoft Entra de CRL heeft gedownload, wordt de CRL in de cache opgeslagen en opnieuw gebruikt voor volgend gebruik. De datum van de volgende update wordt toegepast en, indien beschikbaar, de publicatiedatum van volgende CRL (gebruikt door Windows Server CA's) in het CRL-document.

  8. Als het certificaat van de gebruiker wordt vermeld als ingetrokken op de CRL, mislukt de gebruikersverificatie.

    Schermopname van het ingetrokken gebruikerscertificaat in de CRL.

    Belangrijk

    Vanwege de aard van CRL-caching- en publicatiecycli wordt het ten zeerste aanbevolen om, als er een certificaatintrekking plaatsvindt, ook alle sessies van de betrokken gebruiker in Microsoft Entra ID in te trekken.

  9. Microsoft Entra ID probeert een nieuwe CRL vooraf op te halen van het distributiepunt als het CRL-document in de cache is verlopen. Als CRL een 'Volgende publicatiedatum' heeft, voert Microsoft Entra vooraf een CRL uit, zelfs als de CRL in de cache niet is verlopen. Vanaf nu is er geen manier om het downloaden van de CRL handmatig af te dwingen of opnieuw teriggeren.

    Opmerking

    Microsoft Entra ID controleert de CRL van de verlenende CA en andere CA's in de PKI-vertrouwensketen tot aan de basis-CA. We hebben een limiet van maximaal 10 CA's van het leaf-clientcertificaat voor CRL-validatie in de PKI-keten. De beperking is ervoor te zorgen dat een slechte actor de service niet uitvalt door een PKI-keten te uploaden met een groot aantal CA's met een grotere CRL-grootte. Als de PKI-keten van de tenant meer dan 10 CA's heeft en als er sprake is van een CA-inbreuk, moeten beheerders van verificatiebeleid de gecompromitteerde vertrouwde verlener uit de Microsoft Entra-tenantconfiguratie verwijderen. Zie CRL vooraf ophalen voor meer informatie.

Intrekking configureren

Als u een clientcertificaat wilt intrekken, haalt Microsoft Entra-id de certificaatintrekkingslijst (CRL) op uit de URL's die zijn geüpload als onderdeel van informatie over de certificeringsinstantie en slaat deze in de cache op. De laatste publicatietijdstempel (eigenschap Effectieve datum ) in de CRL wordt gebruikt om ervoor te zorgen dat de CRL nog geldig is. Er wordt regelmatig naar de CRL verwezen om de toegang tot certificaten in te trekken die deel uitmaken van de lijst.

Onmiddellijke intrekking van sessies met Entra CBA

Er zijn veel scenario's waarbij een beheerder onmiddellijk alle sessietokens moet intrekken, zodat alle toegang voor een gebruiker wordt ingetrokken. Dergelijke scenario's omvatten

  • gecompromitteerde accounts
  • beëindiging van werknemers
  • Entra-storing waarbij referenties in de cache worden gebruikt die geen CRL-validatie bevatten
  • andere bedreigingen van insiders.

Als een meer onmiddellijke intrekking is vereist (bijvoorbeeld als een gebruiker een apparaat verliest), kan het autorisatietoken van de gebruiker ongeldig worden gemaakt. Als u het autorisatietoken ongeldig wilt maken, stelt u het veld StsRefreshTokensValidFrom in voor deze specifieke gebruiker met Behulp van Windows PowerShell. U moet het veld StsRefreshTokensValidFrom bijwerken voor elke gebruiker waarvoor u de toegang wilt intrekken.

Om ervoor te zorgen dat de intrekking blijft bestaan, moet u de ingangsdatum van de CRL instellen op een datum na de waarde die is ingesteld door StsRefreshTokensValidFrom en ervoor zorgen dat het betreffende certificaat zich in de CRL bevindt.

In de volgende stappen wordt het proces voor het bijwerken en ongeldig maken van het autorisatietoken beschreven door het veld StsRefreshTokensValidFrom in te stellen.

# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"

# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"

# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom

De datum die u hebt ingesteld, moet in de toekomst zijn. Als de datum zich niet in de toekomst bevindt, is de eigenschap StsRefreshTokensValidFrom niet ingesteld. Als de datum in de toekomst valt, is StsRefreshTokensValidFrom ingesteld op de huidige tijd (niet de datum die wordt aangegeven door Set-MsolUser opdracht).

CRL-validatie afdwingen voor CA's

Wanneer u CA's uploadt naar het Vertrouwensarchief van Microsoft Entra, hoeft u geen CRL of het kenmerk CrlDistributionPoint op te nemen. U kunt een CA uploaden zonder een CRL-eindpunt en verificatie op basis van certificaten mislukt niet als een verlenende CA geen CRL opgeeft.

Om de beveiliging te versterken en onjuiste configuraties te voorkomen, kan een verificatiebeheerder van verificatiebeleid vereisen dat CBA mislukt als een CERTIFICERINGsinstantie die een certificaat voor eindgebruikers uitgeeft geen CRL configureert.

CRL-validatie inschakelen

  1. Selecteer CRL-validatie vereisen (aanbevolen) om CRL-validatie in te schakelen.

    Schermopname van het vereisen van CRL-validatie.

    Wanneer u deze instelling inschakelt, mislukt CBA als het certificaat van de eindgebruiker afkomstig is van een CA die geen CRL configureert.

  2. Een verificatiebeleidsbeheerder kan een CA uitsluiten als de bijbehorende CRL problemen heeft die moeten worden opgelost. Selecteer Uitzondering toevoegen en kies eventuele CA's die u wilt uitsluiten.

    Schermopname van het uitsluiten van CA's van CRL-validatie.

  3. CA's in de uitgesloten lijst hoeven geen CRL te configureren en de certificaten van eindgebruikers die ze uitgeven, mislukken de verificatie niet.

    Selecteer CA's en selecteer Toevoegen. Gebruik het tekstvak Zoeken om de CA-lijsten te filteren en specifieke CA's te selecteren.

    Schermopname van CA's die zijn uitgesloten van CRL-validatie.

Richtlijnen voor het instellen van CRL's (basis- en delta-CRL) voor Microsoft Entra-id

  1. Toegankelijke CRL's publiceren:

    • Zorg ervoor dat uw CA zowel de basis-CRL als delta-CRL's publiceert (indien van toepassing) op internetgerichte URL's die toegankelijk zijn via HTTP.
    • Microsoft Entra-id kan certificaten niet valideren als CRL's worden gehost op interne servers. De URL's moeten maximaal beschikbaar zijn, presterend en tolerant zijn om verificatiefouten te voorkomen vanwege onbeschikbaarheid.
    • Valideer de toegankelijkheid van CRL door de CRL-URL in een browser te testen en certutil -url te gebruiken voor distributiecontroles.

  2. CRL-URL's configureren in Microsoft Entra-id:

    • Upload het openbare CA-certificaat naar Microsoft Entra-id en configureer de CRL-distributiepunten (CDP's).
    • Basis-CRL-URL: bevat alle ingetrokken certificaten.
    • Delta CRL-URL (optioneel maar aanbevolen): bevat certificaten die zijn ingetrokken sinds de laatste basis-CRL is gepubliceerd.
    • Gebruik hulpprogramma's zoals certutil om de geldigheid van CRL te controleren en problemen met certificaten en CRL lokaal op te lossen.

  3. Geldigheidsperioden instellen:

    • Stel de basis-CRL-geldigheidsperiode lang genoeg in om operationele overhead en beveiliging (meestal dagen tot weken) te verdelen.
    • Stel de geldigheidsperiode van de delta-CRL in die korter is (meestal 24 uur) om tijdige herkenning van ingetrokken certificaten mogelijk te maken.
    • Kortere CRL-geldigheid van delta verbetert de beveiliging door het venster te verminderen waarin ingetrokken certificaten geldig blijven, maar de uitgifte- en distributiebelasting toeneemt.
    • De aanbevolen standaardvalidatie van 24 uur voor delta-CRL's op Windows-servers is een algemeen geaccepteerde standaardbeveiliging en -prestaties.
    • Microsoft Entra ID is ontworpen om frequente delta CRL-updates efficiënt af te handelen zonder prestatievermindering en doorlopende verbeteringen helpen dit verder te verbeteren.
    • Microsoft Entra ID past beperkingsmechanismen toe om te beschermen tegen DDoS-aanvallen tijdens delta-CRL-downloads, wat kan leiden tot tijdelijke fouten, zoals 'AADSTS2205013' voor een kleine subset van gebruikers.

  4. Hoge beschikbaarheid en prestaties garanderen:

    • Host-CRL's op betrouwbare webservers of CDN's (Content Delivery Networks) om vertragingen of fouten tijdens het ophalen te minimaliseren.
    • CRL-publicatie en toegankelijkheid proactief bewaken.

  5. Bescherming tegen beperkingen en DDoS-aanvallen (distributed Denial-of-Service):

    • Om Microsoft Entra ID-services en -gebruikers te beveiligen, wordt beperking toegepast op CRL-ophaalbewerkingen tijdens hoge belasting of mogelijk misbruik.
    • Plan CRL-publicatie- en verloopcycli tijdens daluren om de kans op beperking van gebruikers te minimaliseren.

  6. CRL-groottebeheer

    • Houd CRL-nettoladingen zo klein mogelijk, idealiter door frequente delta-CRL-uitgifte en archivering van oude vermeldingen, om de ophaalsnelheid te verbeteren en bandbreedte te verminderen.

  7. CRL-validatie inschakelen

    • CRL-validatie afdwingen in Microsoft Entra-id-beleid om ervoor te zorgen dat ingetrokken certificaten worden gedetecteerd. Zie CRL-validatie inschakelen voor meer informatie.
    • Overweeg tijdelijke bypass van CRL-controle alleen als laatste redmiddel tijdens het oplossen van problemen, met inzicht in de beveiligingsrisico's.

  8. Testen en bewaken

    • Voer regelmatig tests uit om te controleren of CRL's kunnen worden gedownload en correct worden herkend door Microsoft Entra-id.
    • Gebruik bewaking om problemen met CRL-beschikbaarheid of validatie snel te detecteren en op te lossen.

CRL-foutreferentie

Foutcode en bericht Description Veelvoorkomende oorzaken Aanbevelingen
AADSTS500171: Certificaat is ingetrokken. Neem contact op met uw beheerder. Het certificaat bevindt zich in de CRL, waarmee wordt aangegeven dat het is ingetrokken. Het certificaat wordt ingetrokken door de beheerder. Als een certificaat per ongeluk is opgenomen in de CRL, moet de verlenende CA de CRL opnieuw uitgeven met een bijgewerkte lijst die de beoogde intrekkingen nauwkeurig weergeeft.
AADSTS500172: Het certificaat {name} dat is uitgegeven door {issuer} is ongeldig. Huidige tijd: {curTime}. Certificaat NotBefore: {startTime}. Certificaat NotAfter: {endTime}. CRL is niet geldig op tijd. De CRL's of delta-CRL's die worden gebruikt om het certificaat te valideren, hebben timingproblemen, zoals verlopen CRL's of onjuist geconfigureerde publicatie-/geldigheidstijden. - Controleer of de datums NotBefore en NotAfter van het certificaat de huidige tijd goed omvatten.
- Controleer of de basis- en delta-CRL's die door uw CA zijn gepubliceerd, niet zijn verlopen.
AADSTS500173: >Kan geen certificaatintrekkingslijst (CRL) downloaden. Ongeldige statuscode {code} van het CRL-distributiepunt. Neem contact op met uw beheerder. CRL kan niet worden gedownload vanwege eindpuntproblemen. - CRL-eindpunt retourneert HTTP-fouten (zoals 403)
- CRL is verlopen zonder update		 - Bevestig dat het CRL-eindpunt geldige gegevens retourneert
- Zorg ervoor dat ca regelmatig bijgewerkte CRL's publiceert
- De CRL-URL is niet toegankelijk vanwege netwerkproblemen, firewallblokken of server downtime.
- Schakel CRL fail-safe in om niet-verifieerbare certificaten te blokkeren.
AADSTS500174: Kan geen geldige certificaatintrekkingslijst (CRL) maken op basis van het antwoord. Microsoft Entra-id kan de CRL die is opgehaald uit het opgegeven distributiepunt, niet parseren of gebruiken. - De CRL-URL is niet toegankelijk vanwege netwerkproblemen, firewallblokken of server downtime.
- Het gedownloade CRL-bestand is beschadigd, onvolledig of onjuist geformatteerd.
- De URL's in de CDP-velden van het certificaat verwijzen niet naar geldige CRL-bestanden of zijn onjuist geconfigureerd.		 - Controleer de toegankelijkheid, geldigheid en integriteit van CRL.
- Controleer het CRL-bestand op beschadiging of onvolledige inhoud.
AADSTS500175: intrekkingscontrole is mislukt omdat de certificaatintrekkingslijst (CRL) voor één certificaat in de keten ontbreekt. Tijdens het controleren van certificaatintrekking kon Microsoft Entra geen vereist segment of gedeelte van de certificaatintrekkingslijst (CRL) vinden. - Het CRL-bestand dat is gedownload van het CRL-distributiepunt (CDP) is beschadigd of afgekapt.
- Onjuiste of onvolledige publicatie van de CRL door de CA.
- Netwerkproblemen die onvolledige of mislukte CRL-downloads veroorzaken.
- Onjuiste configuratie van de URL's of bestandssegmenten van het CRL-distributiepunt.		 - CRL-integriteit controleren
- CRL opnieuw publiceren of opnieuw genereren
- Netwerk- en proxyinstellingen controleren
- Zorg ervoor dat de juiste CDP-configuratie op alle CA's wordt uitgevoerd
AADSTS500176: de certificeringsinstantie die uw certificaat heeft uitgegeven, is niet ingesteld in de tenant. Neem contact op met uw beheerder. Microsoft Entra kan het verlenende CA-certificaat niet vinden in het vertrouwde certificaatarchief. Dit voorkomt een geslaagde validatie van de vertrouwensketen van het gebruikerscertificaat. - Het verlenende CA-certificaat (basis- of tussenliggende certificaat) wordt niet geüpload of geconfigureerd in de lijst met vertrouwde certificaten van Microsoft Entra ID.
- De certificaatketen die is opgeslagen op de client of het apparaat, wordt niet correct gekoppeld aan een vertrouwd CA-certificaat.
- Niet-overeenkomende of ontbrekende AKI-verwijzingen (Subject Key Identifier) en Authority Key Identifier (AKI) in de certificaatketen.
- Het verlenende certificaat is mogelijk verlopen, ingetrokken of anderszins ongeldig.		 - Tenantbeheerder moet alle relevante basis- en tussenliggende CA-certificaten uploaden naar het vertrouwde Microsoft Entra-certificaatarchief via het Microsoft Entra-beheercentrum.
- Controleer of de SKI van het verlenende CA-certificaat overeenkomt met de AKI in het certificaat van de gebruiker om de juiste ketenkoppeling te garanderen.
- Gebruik hulpprogramma's zoals certutil of OpenSSL om te controleren of de volledige certificaatketen intact, niet-verbroken en vertrouwd is.
- Vervang verlopen of ingetrokken CA-certificaten in het vertrouwde archief om de geldigheid van de keten te behouden.
AADSTS500177: certificaatintrekkingslijst (CRL) onjuist geconfigureerd. Delta CRL-distributiepunt wordt geconfigureerd zonder een corresponderend basis-CRL-distributiepunt. Neem contact op met uw beheerder. Geeft aan dat uw CA-configuratie een Delta CRL-distributiepunt bevat, maar het bijbehorende basis-CRL-distributiepunt ontbreekt of niet juist is geconfigureerd. - De CRL-distributiepunten (CDP's) die zijn geconfigureerd in de certificaten of CA-instellingen, zijn ongeldig, niet toegankelijk of onjuiste URL's.
- De CA heeft de CRL niet goed gepubliceerd of de CRL is verlopen, waardoor validatiefouten optreden.
- Apparaten of Microsoft Entra ID-services hebben geen toegang tot de CRL-URL's vanwege firewallregels, proxybeperkingen of netwerkverbindingsproblemen.
- Onjuist geconfigureerde instellingen in Microsoft Entra of de verlenende certificeringsinstantie met betrekking tot CRL-verwerking.		 - CRL-distributiepunten bevestigen en bijwerken naar nauwkeurige, openbaar toegankelijke URL's.
- Zorg ervoor dat CRL's regelmatig worden gepubliceerd en vernieuwd voordat ze verlopen. Automatiseer indien mogelijk de CRL-publicatie.
- Sta het benodigde netwerkverkeer naar CRL-distributiepunten toe door firewall-, proxy- of beveiligingsapparaatregels bij te werken.
- Controleer de gedownloade CRL's op beschadiging of afkapping en publiceer indien nodig opnieuw.
- Controleer de Configuraties van Microsoft Entra-id en CA met betrekking tot CRL-publicatie, URL's en validatiebeleid.
AADSTS500178: Kan ongeldige CRL-segmenten ophalen voor {type}. Probeer het later opnieuw. Microsoft Entra ID kan niet alle vereiste segmenten van de certificaatintrekkingslijst (CRL) downloaden of verwerken tijdens certificaatvalidatie. - De CRL wordt gepubliceerd in meerdere segmenten en een of meer segmenten ontbreken, beschadigd of niet toegankelijk.
- Netwerkbeperkingen of firewalls blokkeren de toegang tot een of meer CRL-segmenten.
- De beschikbare CRL-segmenten zijn mogelijk verlopen of zijn niet correct bijgewerkt.
- Onjuiste URL's of ontbrekende vermeldingen in de CRL-distributiepunten van het certificaat waar segmenten worden gehost.		 - Download handmatig alle CRL-segmenten van hun distributiepunten en controleer op volledigheid en geldigheid.
- Zorg ervoor dat alle CRL-segment-URL's correct zijn geconfigureerd en toegankelijk zijn. Werk certificaten of CA-configuraties bij als CDP-URL's zijn gewijzigd.
- Controleer of de CA alle CRL-segmenten correct publiceert en onderhoudt zonder beschadiging of ontbrekende onderdelen.
AADSTS500179: er is een time-out opgetreden voor CRL-validatie. Probeer het later opnieuw. Er is een time-out opgetreden voor CRL-download of is onderbroken. - CRL-grootte overschrijdt limieten
- Netwerklatentie of instabiliteit		 - CRL-grootte behouden onder 20 MB (commerciële Azure) of 45 MB (Azure voor de Amerikaanse overheid)
- Interval instellen Next Update op ten minste één week
- CRL-downloadprestaties bewaken via aanmeldingslogboeken.
AADSTS500183: Certificaat is ingetrokken. Neem contact op met uw beheerder Een verificatiepoging is mislukt omdat het clientapparaat een certificaat heeft gepresenteerd dat is ingetrokken door de verlenende CA. Het certificaat dat wordt gebruikt voor verificatie, vindt u in de certificaatintrekkingslijst (CRL) of gemarkeerd als ingetrokken door de CA. - Tenantbeheerder moet ervoor zorgen dat het nieuwe certificaat correct is ingericht en vertrouwd door Microsoft Entra-id.
- Controleer of de CRL's en delta-CRL's die door uw CA zijn gepubliceerd, up-to-date zijn en toegankelijk zijn voor de apparaten.
AADSTS2205011: De gedownloade certificaatintrekkingslijst (CRL) heeft geen geldige ASN.1-coderingsindeling. Neem contact op met uw beheerder. Het CRL-bestand dat door Microsoft Entra is opgehaald, is niet correct gecodeerd volgens de standaard voor abstracte syntaxis notatie één (ASN.1) Distinguished Encoding Rules (DER), die vereist is voor het parseren en valideren van de CRL-gegevens. - Het CRL-bestand is beschadigd of afgekapt tijdens publicatie of verzending.
- De CRL is door de CA gegenereerd of gecodeerd en voldoet niet aan de ASN.1 DER-standaarden.
- Conversies van bestandsindelingen (zoals onjuiste base64/PEM-codering) hebben de CRL-gegevens beschadigd.		 - Download de CRL handmatig en inspecteer deze met hulpprogramma's zoals openssl of gespecialiseerde ASN.1-parsers om te bevestigen of deze beschadigd of onjuist is.
- Genereer en publiceer de CRL opnieuw van de CA om ervoor te zorgen dat wordt voldaan aan de DER-coderingsstandaarden van ASN.1.
- Zorg ervoor dat de CA-software of -hulpprogramma's die CRL's genereren voldoen aan RFC 5280 en CRL's correct coderen in ASN.1 DER-indeling.
AADSTS2205012: Er is een time-out opgetreden bij het downloaden van de certificaatintrekkingslijst (CRL) van {uri} tijdens de interactieve aanmelding. We proberen het opnieuw te downloaden. Probeer het over een paar minuten opnieuw. Microsoft Entra ID kan het CRL-bestand niet ophalen binnen de verwachte tijd van de opgegeven URL. - Microsoft Entra ID-services kunnen het CRL-distributiepunt niet bereiken vanwege netwerkstoringen, firewallbeperkingen of DNS-fouten.
- De server die als host fungeert voor de CRL is offline, overbelast of reageert niet tijdig.
- Het downloaden van grote CRL's duurt langer, wat mogelijk time-outs veroorzaakt.
 - Gebruik delta-CRL's om CRL-bestandsgrootten kleiner te houden en vaker te vernieuwen om de downloadtijd te verminderen.
- CRL's publiceren of vernieuwen tijdens daluren om de belasting van de server te verminderen en de reactietijden te verbeteren.
- Hoge beschikbaarheid en prestaties van de CRL-hostingservers bewaken en onderhouden.
AADSTS2205013: downloaden van certificaatintrekkingslijst (CRL) wordt momenteel uitgevoerd. Probeer het over een paar minuten opnieuw. Treedt op wanneer meerdere verificatiepogingen gelijktijdig CRL-downloads activeren en het systeem nog steeds de huidige CRL-ophaalbewerking verwerkt. - Wanneer een CRL verloopt of bijna verloopt, kunnen meerdere gebruikers die zich gelijktijdig aanmelden ertoe leiden dat gelijktijdige pogingen worden uitgevoerd om de nieuwe CRL te downloaden.
- Microsoft Entra ID past een vergrendelingsmechanisme toe om gelijktijdige downloads van dezelfde CRL te voorkomen om de belasting en mogelijke racevoorwaarden te verminderen. Dit zorgt ervoor dat sommige verificatieaanvragen tijdelijk worden geweigerd met dit bericht voor opnieuw proberen.
- Grote gebruikerspopulaties of zware aanmeldingspieken kunnen de frequentie van deze fout verhogen.		 - Wacht enkele minuten totdat de lopende CRL-download is voltooid voordat u zich opnieuw probeert aan te melden.
- Zorg ervoor dat CRL's regelmatig worden gepubliceerd en regelmatig worden bijgewerkt om geforceerde herdownloads te verminderen.
AADSTS2205014:De poging om de certificaatintrekkingslijst (CRL) van {uri} te downloaden tijdens de interactieve aanmelding heeft de maximaal toegestane grootte ({size} bytes) overschreden. De CRL wordt ingericht met de servicedownloadlimiet van CRL. Probeer het over een paar minuten opnieuw. Het CRL-bestand dat Microsoft Entra-id heeft geprobeerd te downloaden, is groter dan de limiet die door de service is ingesteld. Microsoft Entra probeert te downloaden op de achtergrond met hogere limieten. - Het CRL-bestand dat door de CA is gepubliceerd, is te groot, vaak vanwege een groot aantal ingetrokken certificaten.
- Grote CRL's kunnen optreden als ingetrokken certificaten niet worden opgeschoond of als de CA lange verloopperioden voor intrekkingsgegevens bewaart.
- Grote CRL-grootten verhogen de downloadtijden en het resourceverbruik tijdens verificatie op basis van certificaten.		 - Verouderde of verlopen ingetrokken certificaten verwijderen uit de CA-database.
- Verkort de CRL-geldigheidsperioden en verhoog de publicatiefrequentie om CRL-grootten beheersbaar te houden.
- Implementeer delta-CRL's om alleen incrementele intrekkingsgegevens te distribueren en bandbreedte te verminderen.
AADSTS2205015: de certificaatintrekkingslijst (CRL) heeft de handtekeningvalidatie mislukt. De verwachte SubjectKeyIdentifier {expectedSKI} komt niet overeen met de AuthorityKeyIdentifier {crlAK} van CRL. Neem contact op met uw beheerder. De cryptografische handtekening op de CRL kan niet worden gevalideerd omdat de CRL is ondertekend door een certificaat waarvan de onderwerpsleutel-id (SKI) niet overeenkomt met de AKI (Authority Key Identifier) die wordt verwacht door Microsoft Entra ID. - Het CA-certificaat dat wordt gebruikt om de CRL te ondertekenen, is gewijzigd, maar de nieuwe SKI is niet bijgewerkt of gesynchroniseerd in de lijst met vertrouwde certificaten.
- De CRL is verouderd of komt niet overeen vanwege onjuiste configuratie in de PKI-hiërarchie.
- Onjuiste of ontbrekende tussenliggende CA-certificaten in de lijst met vertrouwde certificaten.
- CRL-handtekeningcertificaat heeft mogelijk niet het juiste sleutelgebruik voor het ondertekenen van CRL's.		 - Controleer de onderwerpsleutel-id (SKI) van het CA-certificaat dat de CRL ondertekent, overeenkomt met de AKI (Authority Key Identifier) in de CRL.
- Controleer of het ca-handtekeningcertificaat is geüpload en vertrouwd in Microsoft Entra-id.
- Controleer of het CA-certificaat dat wordt gebruikt om de CRL te ondertekenen, de juiste sleutelgebruiksvlagmen heeft ingeschakeld (zoals CRL-ondertekening) en controleer of de certificaatketen intact en ongebroken is.
- Upload of werk de juiste basis- en tussen-CA-certificaten in de lijst met vertrouwde certificeringsinstanties van Microsoft Entra ID en zorg ervoor dat het certificaat dat wordt gebruikt voor het ondertekenen van de CRL is opgenomen en correct is geconfigureerd.
AADSTS7000214: Het certificaat is ingetrokken. Het certificaat is ingetrokken. - Certificaat vermeld in CRL - Ingetrokken certificaat vervangen
- Intrekkingsreden onderzoeken met CA
- Levenscyclus en verlenging van certificaten bewaken

Veelgestelde vragen

In deze volgende secties worden veelgestelde vragen en antwoorden behandeld met betrekking tot certificaatintrekkingslijsten.

Is er een limiet voor CRL-grootte?

De volgende CRL-groottelimieten zijn van toepassing:

  • Downloadlimiet voor interactieve aanmelding: 20 MB (Azure Global omvat GCC), 45 MB voor (Azure US Government, bevat GCC High, Afdeling defensie)
  • Limiet voor het downloaden van services: 65 MB (Azure Global omvat GCC), 150 MB voor (Azure US Government, omvat GCC High, Afdeling defensie)

Wanneer een CRL-download mislukt, wordt het volgende bericht weergegeven:

"De certificaatintrekkingslijst (CRL) die is gedownload van {uri} heeft de maximaal toegestane grootte ({size} bytes) voor CRL's in Microsoft Entra ID overschreden. Probeer het over enkele minuten opnieuw. Als het probleem zich blijft voordoen, neemt u contact op met uw tenantbeheerders.

Downloaden blijft op de achtergrond met hogere limieten.

We bekijken de impact van deze limieten en hebben plannen om ze te verwijderen.

Ik zie een geldige CRL-eindpuntset (Certificate Revocation List), maar waarom zie ik geen CRL-intrekking?

  • Zorg ervoor dat het CRL-distributiepunt is ingesteld op een geldige HTTP-URL.
  • Zorg ervoor dat het CRL-distributiepunt toegankelijk is via een internetgerichte URL.
  • Zorg ervoor dat de CRL-grootten binnen de limieten vallen.

Hoe kan ik een certificaat direct intrekken?

Volg de stappen om een certificaat handmatig in te trekken.

Hoe kan ik certificaatintrekkingscontrole in- of uitschakelen voor een bepaalde CA?

U wordt aangeraden de controle van de certificaatintrekkingslijst (CRL) uit te schakelen, omdat u certificaten niet kunt intrekken. Als u echter problemen met CRL-controle wilt onderzoeken, kunt u een CA uitsluiten van CRL-controle in het Microsoft Entra-beheercentrum. Selecteer Configureren in het beleid voor CBA-verificatiemethoden configureren en selecteer vervolgens Uitzondering toevoegen. Kies de CA die u wilt uitsluiten en selecteer Toevoegen.

Nadat een CRL-eindpunt is geconfigureerd, kunnen eindgebruikers zich niet aanmelden en zien ze 'AADSTS500173: CRL kan niet worden gedownload. Ongeldige statuscode Verboden vanaf CRL-distributiepunt.

Wanneer een probleem voorkomt dat Microsoft Entra de CRL downloadt, is de oorzaak vaak firewallbeperkingen. In de meeste gevallen kunt u het probleem oplossen door firewallregels bij te werken om de vereiste IP-adressen toe te staan, zodat Microsoft Entra de CRL kan downloaden. Zie Lijst met Microsoft IPAddress voor meer informatie.

Hoe kan ik de CRL voor een CA vinden of hoe los ik de fout 'AADSTS2205015: De certificaatintrekkingslijst (CRL) is mislukte handtekeningvalidatie' op?

Download de CRL en vergelijk het CA-certificaat en de CRL-informatie om te controleren of de crlDistributionPoint waarde geldig is voor de CA die u wilt toevoegen. U kunt de CRL configureren voor de bijbehorende CA door de verlener van de onderwerpsleutel-id (SKI) van de certificeringsinstantie te koppelen aan de autoriteitssleutel-id (AKI) van de CRL (CA Issuer SKI == CRL AKI).

In de volgende tabel en afbeelding ziet u hoe u informatie van het CA-certificaat kunt toewijzen aan de kenmerken van de gedownloade CRL.

CA-certificaatgegevens = Gedownloade CRL-gegevens
Onderwerp = Issuer
Onderwerpsleutel-id (SKI) = Authority Key Identifier (Sleutel-ID)

Schermopname die CA-certificaatvelden vergelijkt met CRL-informatie.

Volgende stappen