Dela via

Microsoft Entra-certifikatbaserad autentiseringslista för återkallade certifikat (CRL)

En lista över återkallade certifikat (CRL) är en lista över certifikat som har återkallats av den utfärdande certifikatutfärdare (CA) före deras schemalagda förfallodatum. CRL:er är viktiga för att upprätthålla autentiseringsintegriteten. När ett certifikat återkallas markeras det som obetrott även om det inte har upphört att gälla. Om du införlivar CRL:er i certifikatbaserad autentisering ser du till att endast giltiga, icke-återkallade certifikat godkänns och Microsoft Entra-ID blockerar alla försök med ett återkallat certifikat.

CRL:er signeras digitalt av certifikatutfärdaren och publiceras på offentligt tillgängliga platser, vilket gör att de kan laddas ned via Internet för att verifiera återkallandestatusen för certifikat. När en klient visar ett certifikat för autentisering kontrollerar systemet CRL för att avgöra om certifikatet har återkallats.

Om certifikatet hittas i listan över återkallade certifikat avvisas autentiseringsförsöket. CRL:er uppdateras vanligtvis regelbundet, och organisationer bör se till att de har den senaste versionen av CRL för att fatta korrekta beslut om certifikatets giltighet.

När CRL:er har konfigurerats i Microsoft Entra-certifikatbaserad autentisering (CBA) måste systemet hämta och verifiera crl-certifikatet under autentiseringen. Om Microsoft Entra-ID:t inte kan komma åt CRL-slutpunkten misslyckas autentiseringen eftersom CRL krävs för att bekräfta certifikatets giltighet.

Så här fungerar en CRL i certifikatbaserad autentisering

En CRL fungerar genom att tillhandahålla en mekanism för att kontrollera giltigheten för certifikat som används för autentisering. Processen omfattar flera viktiga steg:

  • Certifikatutfärdning: När ett certifikat utfärdas av en certifikatutfärdare är det giltigt till dess utgångsdatum om det inte återkallas tidigare. Varje certifikat innehåller en offentlig nyckel och signeras av certifikatutfärdare.

  • Återkallning: Om ett certifikat måste återkallas (till exempel om den privata nyckeln har komprometterats eller om certifikatet inte längre behövs) lägger certifikatutfärdare till den i crl-listan.

  • CRL-distribution: Ca:en publicerar CRL:en till en plats som är tillgänglig för klienter, till exempel en webbserver eller en katalogtjänst. CRL:en signeras vanligtvis av ca:en för att säkerställa dess integritet. Om CRL inte är signerat av certifikatutfärdaren (CA) utlöses ett kryptografifel AADSTS2205015 och följ stegen i Vanliga frågor och svar (FAQ) för att felsöka problemet.

  • Klientkontroll: När en klient visar ett certifikat för autentisering hämtar systemet certifikatutfärdare för varje certifikatutfärdare i certifikatkedjan från sina publicerade platser och söker efter återkallade certifikatutfärdare. Om någon CRL-plats inte är tillgänglig misslyckas autentiseringen eftersom systemet inte kan verifiera certifikatets återkallningsstatus.

  • Autentisering: Om certifikatet hittas i listan över återkallade certifikat avvisas autentiseringsförsöket och klienten nekas åtkomst. Om certifikatet inte finns i CRL fortsätter autentiseringen som vanligt.

  • CRL-uppdateringar: CRL uppdateras regelbundet av certifikatutfärdare och klienter bör se till att de har den senaste versionen för att fatta korrekta beslut om certifikatets giltighet. Systemet cachelagr CRL under en viss period för att minska nätverkstrafiken och förbättra prestanda, men det söker också efter uppdateringar regelbundet.

Förstå processen för återkallande av certifikat i Microsoft Entra-certifikatbaserad autentisering

Processen för återkallande av certifikat gör det möjligt för administratörer av autentiseringsprinciper att återkalla ett tidigare utfärdat certifikat så att det inte kan användas för framtida autentisering.

Administratörer för autentiseringsprinciper konfigurerar CRL-distributionsplatsen under installationsprocessen för betrodda utfärdare i Microsoft Entra-klientorganisationen. Varje betrodd utfärdare bör ha en CRL som du kan referera till med hjälp av en internetuppkopplad URL. Mer information finns i Konfigurera certifikatutfärdare.

Microsoft Entra ID stöder endast en CRL-slutpunkt och stöder endast HTTP eller HTTPS. Vi rekommenderar att du använder HTTP i stället för HTTPS för CRL-distribution. CRL-kontroller utförs under certifikatbaserad autentisering, och eventuella fördröjningar eller fel vid hämtning av CRL kan blockera autentisering. Att använda HTTP minimerar svarstiden och undviker potentiella cirkulära beroenden som orsakas av HTTPS (som i sig kräver certifikatverifiering). För att säkerställa tillförlitligheten är du värd för CRL:er på HTTP-slutpunkter med hög tillgänglighet och kontrollerar att de är tillgängliga via Internet.

Viktigt!

Den maximala storleken på en CRL för Microsoft Entra-ID som ska laddas ned vid en interaktiv inloggning är 20 MB i offentliga Microsoft Entra-ID och 45 MB i Azure US Government-moln. Den tid som krävs för att ladda ned CRL får inte överstiga 10 sekunder. Om Microsoft Entra-ID inte kan ladda ned en CRL misslyckas certifikatbaserade autentiseringar med hjälp av certifikat som utfärdats av motsvarande certifikatutfärdare. Vi rekommenderar att du håller CRL-filer inom storleksgränser, håller certifikatets livslängd inom rimliga gränser och rensar utfallna certifikat.

  1. När en användare utför en interaktiv inloggning med ett certifikat laddar Microsoft Entra-ID ned och cachelagrar kundens lista över återkallade certifikat (CRL) från certifikatutfärdaren för att kontrollera om certifikat återkallas under användarens autentisering. Microsoft Entra använder attributet SubjectKeyIdentifier i stället för SubjectName för att skapa certifikatkedjan. När CRL:er är aktiverade måste PKI-konfigurationer innehålla värden för SubjectKeyIdentifier och Utfärdarnyckelidentifierare för att säkerställa korrekt återkallningskontroll.

    SubjectKeyIdentifier tillhandahåller en unik, oföränderlig identifierare för certifikatets offentliga nyckel, vilket gör det mer tillförlitligt än SubjectName, som kan ändras eller dupliceras mellan certifikat. Det här attributet säkerställer korrekt kedjeskapande och konsekvent CRL-validering i komplexa PKI-miljöer.

    Viktigt!

    Om en administratör för autentiseringsprinciper hoppar över konfigurationen av listan över återkallade certifikat utför Inte Microsoft Entra-ID några CRL-kontroller under användarens certifikatbaserade autentisering. Det här beteendet kan vara användbart för inledande felsökning, men bör inte övervägas för produktionsanvändning.

    • Endast bas-CRL: Om endast bas-CRL har konfigurerats laddar Microsoft Entra-ID ned och cachelagrar det tills tidsstämpeln Nästa uppdatering. Autentiseringen misslyckas om CRL har upphört att gälla och inte kan uppdateras på grund av anslutningsproblem eller om CRL-slutpunkten inte tillhandahåller någon uppdaterad version. Microsoft Entra tillämpar strikt CRL-versionshantering: när en ny CRL publiceras måste dess CRL-nummer vara högre än den tidigare versionen.

      CRL-nummer säkerställer monoton versionshantering, vilket förhindrar reprisattacker där en äldre CRL kan återinföras för att kringgå återkallningskontroller. Genom att kräva att varje ny CRL har ett högre versionsnummer garanterar Microsoft Entra ID att de senaste återkallningsdata alltid används.

    • Base + Delta CRL: När båda är konfigurerade måste båda vara giltiga och tillgängliga. Om antingen saknas eller har upphört att gälla misslyckas certifikatverifieringen enligt RFC 5280-standarder.

  2. Den användarcertifikatbaserade autentiseringen misslyckas om en crl har konfigurerats för den betrodda utfärdaren och Microsoft Entra-ID:t inte kan ladda ned CRL på grund av begränsningar för tillgänglighet, storlek eller svarstid. Den här begränsningen gör CRL-slutpunkten till en kritisk enskild felpunkt, vilket minskar återhämtningstiden för Microsoft Entra-ID:ts certifikatbaserade autentisering. För att minska den här risken rekommenderar vi att du använder lösningar med hög tillgänglighet som säkerställer kontinuerlig drifttid för CRL-slutpunkter.

  3. Om listan över återkallade certifikat överskrider den interaktiva gränsen för ett moln misslyckas användarens första inloggning med följande fel:

    The Certificate Revocation List (CRL) downloaded from {uri} has exceeded the maximum allowed size ({size} bytes) for CRLs in Microsoft Entra ID. Try again in few minutes. If the issue persists, contact your tenant administrators.

  4. Microsoft Entra-ID:t försöker ladda ned crl-certifikatet enligt gränserna på tjänstsidan (45 MB i offentligt Microsoft Entra-ID och 150 MB i Azure för amerikanska myndigheter).

  5. Användare kan försöka autentiseringen igen efter några minuter. Om användarens certifikat återkallas och visas i listan över återkallade certifikat misslyckas autentiseringen.

    Viktigt!

    Tokenåterkallelse för ett återkallat certifikat är inte omedelbart på grund av CRL-cachelagring. Om en CRL redan har cachelagrats identifieras inte nyligen återkallade certifikat förrän cachen uppdateras med en uppdaterad CRL. Delta CRL:er innehåller vanligtvis dessa uppdateringar, så återkallningen börjar gälla när delta-CRL:en har lästs in. Om delta-CRL:er inte används beror återkallningen på den grundläggande CRL-giltighetsperioden. Administratörer bör endast återkalla token manuellt när omedelbart återkallande är kritiskt, till exempel i scenarier med hög säkerhet. Mer information finns i Konfigurera återkallande.

  6. Vi stöder inte Online Certificate Status Protocol (OCSP) på grund av prestanda- och tillförlitlighetsskäl. I stället för att ladda ned CRL vid varje anslutning i klientwebbläsaren för OCSP laddar Microsoft Entra-ID ned den en gång vid den första inloggningen och cachelagrar den. Den här åtgärden förbättrar prestanda och tillförlitlighet för CRL-verifiering. Vi indexar också cachen så att sökningen går mycket snabbare varje gång.

  7. Om Microsoft Entra laddar ned listan över återkallade certifikat cachelagrar och återanvänder den återkallade certifikatet för eventuell efterföljande användning. Den respekterar nästa uppdateringsdatum och, om det är tillgängligt, Nästa CRL-publiceringsdatum (används av Windows Server-certifikatutfärdare) i CRL-dokumentet.

  8. Om användarens certifikat visas som återkallat på listan över återkallade certifikat misslyckas användarautentiseringen.

    Skärmbild av det återkallade användarcertifikatet i listan över återkallade certifikat.

    Viktigt!

    På grund av typen av CRL-cachelagring och publiceringscykler rekommenderar vi starkt att du återkallar alla sessioner för den berörda användaren i Microsoft Entra-ID om det finns ett certifikatåterkallning.

  9. Microsoft Entra-ID:t försöker hämta en ny CRL från distributionsplatsen i förväg om det cachelagrade CRL-dokumentet har upphört att gälla. Om CRL har ett "Nästa publiceringsdatum" gör Microsoft Entra en CRL-förhämtning även om crl-värdet i cacheminnet inte har upphört att gälla. Från och med nu finns det inget sätt att manuellt framtvinga eller retrigga nedladdningen av CRL.

    Anmärkning

    Microsoft Entra ID kontrollerar CRL för den utfärdande certifikatutfärdaren och andra certifikatutfärdare i PKI-förtroendekedjan upp till rotcertifikatutfärdaren. Vi har en gräns på upp till 10 certifikatutfärdare från slutkundcertifikatet för CRL-validering i PKI-kedjan. Begränsningen är att se till att en dålig aktör inte tar ner tjänsten genom att ladda upp en PKI-kedja med ett stort antal certifikatutfärdare med en större CRL-storlek. Om klientorganisationens PKI-kedja har fler än 10 certifikatutfärdare, och om det finns en CA-kompromiss, bör autentiseringsprincipadministratörer ta bort den komprometterade betrodda utfärdaren från Microsoft Entra-klientkonfigurationen. Mer information finns i Förhämtning av CRL.

Så här konfigurerar du återkallelse

För att återkalla ett klientcertifikat hämtar Microsoft Entra-ID listan över återkallade certifikat (CRL) från URL:erna som laddats upp som en del av certifikatutfärdarens information och cachelagrar den. Den senaste publiceringstidsstämpeln (egenskapen Gällande datum ) i CRL används för att säkerställa att CRL fortfarande är giltig. CRL refereras regelbundet till för att återkalla åtkomsten till certifikat som ingår i listan.

Omedelbart återkallande av sessioner med Entra CBA

Det finns många scenarier som kan kräva att en administratör omedelbart återkallar alla sessionstoken så att all åtkomst för en användare återkallas. Sådana scenarier omfattar

  • komprometterade konton
  • uppsägning av anställd
  • Entra-avbrott där cachelagrade autentiseringsuppgifter används som inte inkluderar CRL-validering
  • andra insiderhot.

Om ett mer omedelbart återkallning krävs (till exempel om en användare förlorar en enhet) kan användarens auktoriseringstoken ogiltigförklaras. Om du vill ogiltigförklara auktoriseringstoken anger du fältet StsRefreshTokensValidFrom för den här användaren med hjälp av Windows PowerShell. Du måste uppdatera fältet StsRefreshTokensValidFrom för varje användare som du vill återkalla åtkomst för.

För att säkerställa att återkallningen kvarstår måste du ange det gällande datumet för listan över återkallade certifikat till ett datum efter det värde som angetts av StsRefreshTokensValidFrom och se till att certifikatet i fråga finns i CRL.

Följande steg beskriver processen för att uppdatera och ogiltigförklara auktoriseringstoken genom att ange fältet StsRefreshTokensValidFrom .

# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"

# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"

# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom

Det datum du anger måste vara i framtiden. Om datumet inte är i framtiden anges inte egenskapen StsRefreshTokensValidFrom . Om datumet är i framtiden anges StsRefreshTokensValidFrom till aktuell tid (inte det datum som anges av kommandot Set-MsolUser).

Framtvinga CRL-validering för certifikatutfärdare

När du laddar upp certifikatutfärdare till Microsoft Entra-förtroendearkivet behöver du inte inkludera en CRL eller CrlDistributionPoint-attributet. Du kan ladda upp en certifikatutfärdare utan en CRL-slutpunkt, och certifikatbaserad autentisering misslyckas inte om en utfärdande certifikatutfärdare inte anger någon CRL.

För att stärka säkerheten och undvika felkonfigurationer kan en administratör för autentiseringsprinciper kräva att CBA-autentisering misslyckas om en certifikatutfärdare som utfärdar ett slutanvändarcertifikat inte konfigurerar en CRL.

Aktivera CRL-validering

  1. Välj Kräv CRL-validering (rekommenderas) för att aktivera CRL-validering.

    Skärmbild av hur du kräver CRL-validering.

    När du aktiverar den här inställningen misslyckas CBA om slutanvändarcertifikatet kommer från en certifikatutfärdare som inte konfigurerar en CRL.

  2. En administratör för autentiseringsprinciper kan undanta en ca om dess crl har problem som måste åtgärdas. Välj Lägg till undantag och välj eventuella certifikatutfärdare som ska undantas.

    Skärmbild av hur du undantar certifikatutfärdare från CRL-validering.

  3. Certifikatutfärdare i den undantagna listan behöver inte konfigurera en CRL och de slutanvändarcertifikat som de utfärdar misslyckas inte med autentiseringen.

    Välj certifikatutfärdare och välj Lägg till. Använd textrutan Sök för att filtrera CA-listorna och välja specifika certifikatutfärdare.

    Skärmbild av certifikatutfärdare som är undantagna från CRL-validering.

Vägledning för att konfigurera CRL :er (base och delta CRL) för Microsoft Entra ID

  1. Publicera tillgängliga CRL:er:

    • Se till att certifikatet publicerar både bas-CRL och delta-CRL:er (om tillämpligt) till Internetuppkopplade URL:er som är tillgängliga via HTTP.
    • Microsoft Entra-ID kan inte verifiera certifikat om CRL:er finns på interna servrar. URL:erna ska vara mycket tillgängliga, högpresterande och motståndskraftiga för att förhindra autentiseringsfel på grund av otillgänglighet.
    • Verifiera tillgängligheten för återkallade certifikat genom att testa CRL-URL:en i en webbläsare och använda certutil--url för distributionskontroller.

  2. Konfigurera CRL-URL:er i Microsoft Entra-ID:

    • Ladda upp certifikatutfärdarens offentliga certifikat till Microsoft Entra-ID och konfigurera CRL-distributionsplatserna (CDP:er).
    • Grundläggande CRL-URL: Innehåller alla återkallade certifikat.
    • Delta CRL URL (valfritt men rekommenderas): Innehåller certifikat som återkallats sedan den senaste bas-CRL:en publicerades.
    • Använd verktyg som certutil för att verifiera CRL-giltigheten och felsöka certifikat- och CRL-problem lokalt.

  3. Ange giltighetsperioder:

    • Ange den grundläggande CRL-giltighetsperioden tillräckligt lång för att balansera driftkostnader och säkerhet (vanligtvis dagar till veckor).
    • Ange delta CRL-giltighetsperioden kortare (vanligtvis 24 timmar) för att möjliggöra snabb igenkänning av återkallade certifikat.
    • Kortare delta CRL-giltighet förbättrar säkerheten genom att minska fönstret där återkallade certifikat förblir giltiga men ökar utfärdandet och distributionsbelastningen.
    • Den rekommenderade standard giltigheten på 24 timmar för delta-CRL:er på Windows-servrar är en allmänt accepterad standardsäkerhet och prestanda.
    • Microsoft Entra ID är utformat för att effektivt hantera frekventa delta CRL-uppdateringar utan prestandaförsämring, och pågående förbättringar bidrar till att förbättra detta ytterligare.
    • Microsoft Entra ID tillämpar begränsningsmekanismer för att skydda mot DDoS-attacker vid nedladdning av delta-CRL, vilket kan resultera i tillfälliga fel som "AADSTS2205013" för en liten delmängd användare.

  4. Säkerställ hög tillgänglighet och prestanda:

    • Värd-CRL:er på tillförlitliga webbservrar eller nätverk för innehållsleverans (CDN) för att minimera fördröjningar eller fel under hämtningen.
    • Övervaka CRL-publicering och tillgänglighet proaktivt.

  5. Skydda mot begränsning och distribuerade denial-of-service-attacker (DDoS):

    • För att skydda Microsoft Entra ID-tjänster och -användare tillämpas begränsning på CRL-hämtningsåtgärder vid hög belastning eller potentiellt missbruk.
    • Schemalägg CRL-publicering och förfallocykler under lågtrafiktimmar för att minimera sannolikheten för begränsning som påverkar användarna.

  6. Hantering av CRL-storlek

    • Håll CRL-nyttolaster så små som möjligt, helst genom frekventa delta CRL-utfärdanden och arkivering av gamla poster, för att förbättra hämtningshastigheten och minska bandbredden.

  7. Aktivera CRL-validering

    • Framtvinga CRL-validering i Microsoft Entra ID-principer för att säkerställa att återkallade certifikat identifieras. Mer information finns i Aktivera CRL-validering.
    • Överväg endast tillfällig förbikoppling av CRL-kontroll som en sista utväg under felsökningen, med en förståelse för säkerhetsriskerna.

  8. Testa och övervaka

    • Utför regelbundna tester för att kontrollera att CRL:er kan laddas ned och identifieras korrekt av Microsoft Entra ID.
    • Använd övervakning för att identifiera och snabbt åtgärda problem med tillgänglighet eller validering av återkallade certifikat.

Referens för CRL-fel

Felkod och meddelande Description Vanliga orsaker Recommendations
AADSTS500171: Certifikatet har återkallats. Kontakta administratören. Certifikatet finns i listan över återkallade certifikat som anger att det har återkallats. Certifikatet återkallas av administratören. Om ett certifikat av misstag ingår i crl-certifikatet, måste den utfärdande certifikatutfärdare återutfärda crl med en uppdaterad lista som korrekt återspeglar de avsedda återkallelserna.
AADSTS500172: Certifikatet {name} som utfärdats av {issuer} är inte giltigt. Aktuell tid: {curTime}. Certificate NotBefore: {startTime}. Certifikat ejEfter: {endTime}. CRL är inte giltigt i tid. De CRL:er eller delta-CRL:er som används för att verifiera certifikatet har tidsproblem, till exempel utgångna CRL:er eller felaktigt konfigurerade publicerings-/giltighetstider. - Bekräfta att certifikatets NotBefore- och NotAfter-datum korrekt omfattar den aktuella tiden.
– Kontrollera att bas- och delta-CRL:erna som publicerats av din ca inte har upphört att gälla.
AADSTS500173: >Det går inte att ladda ned en lista över återkallade certifikat (CRL). Ogiltig statuskod {code} från CRL-distributionsplatsen. Kontakta administratören. CRL kunde inte laddas ned på grund av slutpunktsproblem. – CRL-slutpunkten returnerar HTTP-fel (till exempel 403)
– CRL har upphört att gälla utan uppdatering		 – Bekräfta att CRL-slutpunkten returnerar giltiga data
– Se till att ca regelbundet publicerar uppdaterade CRL:er
– CRL-URL:en är inte tillgänglig på grund av nätverksproblem, brandväggsblock eller serveravbrott.
– Aktivera crl-felsäkert för att blockera icke-verifierade certifikat.
AADSTS500174: Det går inte att skapa en giltig lista över återkallade certifikat (CRL) från svaret. Microsoft Entra-ID kan inte parsa eller använda den CRL som hämtats från den angivna distributionsplatsen. – CRL-URL:en är inte tillgänglig på grund av nätverksproblem, brandväggsblock eller serveravbrott.
– Den nedladdade CRL-filen är skadad, ofullständig eller felaktigt formaterad.
– URL:erna i certifikatets CDP-fält pekar inte på giltiga CRL-filer eller är felkonfigurerade.		 – Kontrollera tillgänglighet, giltighet och integritet för CRL.
– Granska CRL-filen för skadat eller ofullständigt innehåll.
AADSTS500175: Återkallningskontrollen misslyckades eftersom listan över återkallade certifikat (CRL) för ett certifikat i kedjan saknas. Under kontrollen av återkallade certifikat kunde Microsoft Entra inte hitta ett obligatoriskt segment eller en del av listan över återkallade certifikat (CRL). – CRL-filen som laddas ned från CRL-distributionsplatsen (CDP) är skadad eller trunkerad.
- Felaktig eller ofullständig publicering av listan över återkallade certifikat från ca:et.
– Nätverksproblem som orsakar ofullständiga eller misslyckade CRL-nedladdningar.
– Felkonfiguration av URL:er eller filsegment för CRL-distributionsplatser.		 – Verifiera CRL-integritet
– Publicera om eller återskapa CRL
– Kontrollera nätverks- och proxyinställningar
– Se till att CDP-konfigurationen är korrekt för alla certifikatutfärdare
AADSTS500176: Certifikatutfärdare som utfärdade certifikatet har inte konfigurerats i klientorganisationen. Kontakta administratören. Microsoft Entra kunde inte hitta det utfärdande CA-certifikatet i sitt betrodda certifikatarkiv. Detta förhindrar lyckad validering av användarcertifikatets förtroendekedja. – Det utfärdande CA-certifikatet (rot eller mellanliggande) laddas inte upp eller konfigureras i listan över betrodda Certifikat för Microsoft Entra-ID.
– Certifikatkedjan som lagras på klienten eller enheten länkar inte korrekt till ett betrott CA-certifikat.
– Felmatchade eller saknade AKI-referenser (Subject Key Identifier) och Authority Key Identifier (AKI) i certifikatkedjan.
– Det utfärdande certifikatet kan ha upphört att gälla, återkallats eller på annat sätt vara ogiltigt.		 – Innehavaradministratören bör ladda upp alla relevanta rotcertifikat och mellanliggande CA-certifikat till Microsoft Entras betrodda certifikatarkiv via administrationscentret för Microsoft Entra.
– Bekräfta att SKI för det utfärdande CA-certifikatet matchar AKI:et i användarens certifikat för att säkerställa korrekt länkning av kedjan.
– Använd verktyg som certutil eller OpenSSL för att kontrollera att den fullständiga certifikatkedjan är intakt, obruten och betrodd.
– Ersätt eventuella utgångna eller återkallade CA-certifikat i det betrodda arkivet för att upprätthålla kedjans giltighet.
AADSTS500177: Listan över återkallade certifikat (CRL) är felkonfigurerad. Delta CRL-distributionsplatsen konfigureras utan en motsvarande bas-CRL-distributionsplats. Kontakta administratören. Anger att ca-konfigurationen innehåller en Delta CRL-distributionsplats, men motsvarande bas-CRL-distributionsplats saknas eller är inte korrekt konfigurerad. – DE CRL-distributionsplatser (CDP:er) som konfigurerats i certifikaten eller CA-inställningarna är ogiltiga, otillgängliga eller felaktiga URL:er.
– Certifikatutfärdare har inte publicerat crl-listan korrekt eller så har crl-listan upphört att gälla, vilket orsakar valideringsfel.
– Enheter eller Microsoft Entra ID-tjänster kan inte komma åt CRL-URL:er på grund av brandväggsregler, proxybegränsningar eller problem med nätverksanslutningen.
– Felkonfigurerade inställningar i Microsoft Entra eller den utfärdande certifikatutfärdaren som är relaterad till CRL-hantering.		 – Bekräfta och uppdatera CRL-distributionsplatserna till korrekta, offentligt tillgängliga URL:er.
- Se till att listor över återkallade certifikat publiceras och förnyas regelbundet innan de upphör att gälla. Automatisera CRL-publicering om möjligt.
– Tillåt nödvändig nätverkstrafik till CRL-distributionsplatser genom att uppdatera brandväggs-, proxy- eller säkerhetsenhetsregler.
– Verifiera de nedladdade CRL:erna för skada eller trunkering och publicera om det behövs.
– Dubbelkolla Microsoft Entra ID- och CA-konfigurationer relaterade till CRL-publicering, URL:er och valideringsprinciper.
AADSTS500178: Det går inte att hämta giltiga CRL-segment för {type}. Försök igen senare. Microsoft Entra-ID kan inte ladda ned eller bearbeta alla nödvändiga segment i listan över återkallade certifikat (CRL) under certifikatverifieringen. – CRL publiceras i flera segment och ett eller flera segment saknas, är skadade eller otillgängliga.
– Nätverksbegränsningar eller brandväggar blockerar åtkomst till ett eller flera CRL-segment.
– Tillgängliga CRL-segment kan ha upphört att gälla eller inte uppdateras korrekt.
– Felaktiga URL:er eller saknade poster i certifikatets CRL-distributionsplatser där segment finns.		 – Ladda ned alla CRL-segment manuellt från deras distributionsplatser och kontrollera om de är fullständiga och giltiga.
– Kontrollera att alla URL:er för CRL-segment är korrekt konfigurerade och tillgängliga. Uppdatera certifikat eller CA-konfigurationer om CDP-URL:er har ändrats.
– Bekräfta att ca:en publicerar och underhåller alla CRL-segment korrekt utan skadade eller saknade delar.
AADSTS500179: Tidsgränsen för CRL-validering har överskrids. Försök igen senare. Tidsgränsen för CRL-nedladdningen gick ut eller avbröts. – CRL-storleken överskrider gränserna
– Nätverksfördröjning eller instabilitet		 – Behåll CRL-storlek under 20 MB (kommersiell Azure) eller 45 MB (Azure för amerikanska myndigheter)
- Ange Next Update intervall till minst en vecka
– Övervaka crl-nedladdningsprestanda via inloggningsloggar.
AADSTS500183: Certifikatet har återkallats. Kontakta administratören Ett autentiseringsförsök misslyckades eftersom klientenheten presenterade ett certifikat som återkallades av den utfärdande certifikatutfärdare. Certifikatet som används för autentisering finns i listan över återkallade certifikat (CRL) eller flaggas som återkallat av certifikatutfärdare. – Innehavaradministratören bör se till att det nya certifikatet är korrekt etablerat och betrott av Microsoft Entra-ID.
– Kontrollera att crl-erna och delta-CRL:erna som publicerats av din ca är uppdaterade och tillgängliga för enheterna.
AADSTS2205011: Den nedladdade listan över återkallade certifikat (CRL) är inte i ett giltigt ASN.1-kodningsformat. Kontakta administratören. CRL-filen som hämtats av Microsoft Entra är inte korrekt kodad enligt standarden Abstract Syntax Notation One (ASN.1) Distinguished Encoding Rules (DER), som krävs för parsning och validering av CRL-data. – CRL-filen är skadad eller trunkerad under publicering eller överföring.
– CRL genererades eller kodades felaktigt av ca:en och överensstämmer inte med ASN.1 DER-standarder.
– Filformatkonverteringar (till exempel felaktig base64/PEM-kodning) skadade CRL-data.		 – Ladda ned CRL manuellt och inspektera den med verktyg som openssl eller specialiserade ASN.1-parsare för att bekräfta om den är skadad eller felaktigt formaterad.
– Återskapa och publicera om crl-koden från ca:en för att säkerställa efterlevnad av ASN.1 DER-kodningsstandarder.
– Se till att CA-programvaran eller verktygen som genererar CRL:er överensstämmer med RFC 5280 och korrekt kodar CRL:er i ASN.1 DER-format.
AADSTS2205012: Försöket att ladda ned listan över återkallade certifikat (CRL) från {uri} under den interaktiva inloggningen har överskriden tidsgräns. Vi försöker ladda ned igen. Försök igen om några minuter. Microsoft Entra-ID kunde inte hämta CRL-filen inom den förväntade tiden från den angivna URL:en. – Microsoft Entra ID-tjänster kan inte nå CRL-distributionsplatsen på grund av nätverksfel, brandväggsbegränsningar eller DNS-fel.
– Servern som är värd för CRL är nere, överbelastad eller svarar inte i tid.
– Det tar längre tid att ladda ned stora CRL:er, vilket kan orsaka timeouter.
 – Använd delta-CRL:er för att hålla CRL-filstorlekarna mindre och uppdatera oftare för att minska nedladdningstiden.
– Publicera eller uppdatera CRL:er under låg belastning för att minska serverbelastningen och förbättra svarstiderna.
– Övervaka och upprätthålla hög tillgänglighet och prestanda för CRL-värdservrarna.
AADSTS2205013: Nedladdning av listan över återkallade certifikat (CRL) pågår för närvarande. Försök igen om några minuter. Inträffar när flera autentiseringsförsök samtidigt utlöser CRL-nedladdningar och systemet fortfarande bearbetar den aktuella CRL-hämtningen. – När en CRL upphör att gälla eller håller på att upphöra att gälla kan flera användare som loggar in samtidigt orsaka samtidiga försök att ladda ned den nya CRL:en.
– Microsoft Entra ID tillämpar en låsningsmekanism för att förhindra samtidiga nedladdningar av samma CRL för att minska belastningen och potentiella konkurrensförhållanden. Detta gör att vissa autentiseringsbegäranden tillfälligt nekas med det här återförsöksmeddelandet.
– Stora användarpopulationer eller stora inloggningstoppar kan öka frekvensen för det här felet.		 – Tillåt några minuter för den pågående CRL-nedladdningen att slutföras innan du försöker logga in igen.
– Se till att CRL:er publiceras och uppdateras regelbundet innan de upphör att gälla för att minska framtvingade nedladdningar.
AADSTS2205014:Försöket att ladda ned listan över återkallade certifikat (CRL) från {uri} under den interaktiva inloggningen har överskridit den maximala tillåtna storleken ({size} byte). CRL etableras med CRL:s tjänstnedladdningsgräns. Försök igen om några minuter. CRL-filen som Microsoft Entra-ID:t försökte ladda ned är större än den storleksgräns som anges av tjänsten. Microsoft Entra kommer att försöka ladda ned i bakgrunden med högre gränser. – CRL-filen som publicerats av certifikatutfärdare är för stor, ofta på grund av ett stort antal återkallade certifikat.
– Stora CRL:er kan inträffa om återkallade certifikat inte rensas eller om certifikatutfärdare behåller långa förfalloperioder för återkallningsdata.
– Stora CRL-storlekar ökar nedladdningstiderna och resursförbrukningen under certifikatbaserad autentisering.		 – Ta bort inaktuella eller utgångna återkallade certifikat från CA-databasen.
– Förkorta CRL-giltighetsperioder och öka publiceringsfrekvensen för att hålla CRL-storlekar hanterbara.
– Implementera delta CRL:er för att endast distribuera inkrementell återkallningsinformation och minska bandbredden.
AADSTS2205015: Verifieringen av certifikatåterkallelselistan (CRL) misslyckades. Den förväntade SubjectKeyIdentifier {expectedSKI} matchar inte CRL:s AuthorityKeyIdentifier {crlAK}. Kontakta administratören. Det gick inte att verifiera den kryptografiska signaturen på listan över återkallade certifikat eftersom certifikatutfärdaren signerades av ett certifikat vars ämnesnyckelidentifierare (SKI) inte matchar den AKI (Authority Key Identifier) som förväntas av Microsoft Entra ID. – Certifikatutfärdarcertifikatet som användes för att signera crl ändrades men den nya ski-filen uppdaterades inte eller synkroniserades inte i listan över betrodda certifikat.
– CRL:en är inaktuell eller inte matchad på grund av felkonfiguration i PKI-hierarkin.
– Felaktiga eller saknade mellanliggande CA-certifikat i listan över betrodda certifikat.
– CRL-signeringscertifikatet kanske inte har rätt nyckelanvändning för signering av CRL:er.		 – Kontrollera ämnesnyckelidentifieraren (SKI) för certifikatutfärdarcertifikatet som signerar certifikatutfärdaren matchar AKI (Authority Key Identifier) i CRL.
– Bekräfta att certifikatet för signeringscertifikatutfärdaren har laddats upp och är betrott i Microsoft Entra-ID.
– Kontrollera att certifikatutfärdarcertifikatet som används för att signera crl har rätt nyckelanvändningsflaggor aktiverade (till exempel CRL-signering) och kontrollera att certifikatkedjan är intakt och obruten.
– Ladda upp eller uppdatera rätt rotcertifikatutfärdarcertifikat och mellanliggande CA-certifikat i Microsoft Entra-ID:ts lista över betrodda certifikatutfärdare och se till att certifikatet som används för att signera certifikatutfärdaren ingår och är korrekt konfigurerat.
AADSTS7000214: Certifikatet har återkallats. Certifikatet har återkallats. – Certifikat som anges i CRL – Ersätt återkallat certifikat
– Undersöka orsaken till återkallande med CA
– Övervaka certifikatets livscykel och förnyelse

Vanliga frågor

I nästa avsnitt beskrivs vanliga frågor och svar som rör listor över återkallade certifikat.

Finns det en gräns för CRL-storlek?

Följande crl-storleksgränser gäller:

  • Nedladdningsgräns för interaktiv inloggning: 20 MB (Azure Global inkluderar GCC), 45 MB för (Azure US Government, inkluderar GCC High, Dept. of Defense)
  • Gräns för tjänstnedladdning: 65 MB (Azure Global inkluderar GCC), 150 MB för (Azure US Government, inkluderar GCC High, Dept. of Defense)

När en CRL-nedladdning misslyckas visas följande meddelande:

"Listan över återkallade certifikat (CRL) som laddats ned från {uri} har överskridit den maximala tillåtna storleken ({size} byte) för CRL:er i Microsoft Entra-ID. Försök igen om några minuter. Kontakta klientadministratörerna om problemet kvarstår."

Nedladdningen finns kvar i bakgrunden med högre gränser.

Vi granskar effekten av dessa gränser och har planer på att ta bort dem.

Jag ser en giltig crl-slutpunktsuppsättning (Certificate Revocation List), men varför ser jag inte några ÅTERKALLADE ÅTERKALLADE CERTIFIKAT?

  • Kontrollera att CRL-distributionsplatsen är inställd på en giltig HTTP-URL.
  • Kontrollera att CRL-distributionsplatsen är tillgänglig via en internetuppkopplad URL.
  • Kontrollera att CRL-storlekarna ligger inom gränserna.

Hur återkallar jag ett certifikat direkt?

Följ stegen för att återkalla ett certifikat manuellt.

Hur aktiverar eller inaktiverar jag certifikatåterkallning för en viss certifikatutfärdare?

Vi rekommenderar att du inte inaktiverar listan över återkallade certifikat (CRL) eftersom du inte kan återkalla certifikat. Men om du behöver undersöka problem med CRL-kontroll kan du undanta en certifikatutfärdare från CRL-kontroll i administrationscentret för Microsoft Entra. I principen FÖR CBA-autentiseringsmetoder väljer du Konfigurera och väljer sedan Lägg till undantag. Välj den ca som du vill undanta och välj Lägg till.

När en CRL-slutpunkt har konfigurerats kan slutanvändarna inte logga in och de ser "AADSTS500173: Det går inte att ladda ned CRL. Ogiltig statuskod Förbjuden från CRL-distributionsplats."

När ett problem hindrar Microsoft Entra från att ladda ned listan över återkallade certifikat är orsaken ofta brandväggsbegränsningar. I de flesta fall kan du lösa problemet genom att uppdatera brandväggsregler för att tillåta nödvändiga IP-adresser så att Microsoft Entra kan ladda ned listan över återkallade certifikat. Mer information finns i Lista över Microsoft IPAddress.

Hur hittar jag crl för en certifikatutfärdare eller hur felsöker jag felet "AADSTS2205015: Valideringen av certifikatåterkallningslistan (CRL) misslyckades med signaturverifiering"?

Ladda ned crl och jämför CA-certifikatet och CRL-informationen för att verifiera att crlDistributionPoint värdet är giltigt för den certifikatutfärdare som du vill lägga till. Du kan konfigurera certifikatutfärdaren till motsvarande certifikatutfärdare genom att matcha certifikatutfärdarens utfärdare ämnesnyckelidentifierare (SKI) med utfärdarnyckelidentifieraren (AKI) för CRL (CA Issuer SKI == CRL AKI).

Följande tabell och bild visar hur du mappar information från CA-certifikatet till attributen för den nedladdade CRL:en.

Ca-certifikatinformation = Hämtad CRL-information
Ämne = Utfärdare
Ämnesnyckelidentifierare (SKI) = Myndighetsnyckelidentifierare (KeyID)

Skärmbild som jämför CA-certifikatfält med CRL-information.

Nästa steg