证书吊销列表(CRL)是证书颁发机构(CA)在计划到期日期之前吊销的证书列表。 CRL 对于维护身份验证完整性至关重要。 吊销证书后,即使证书未过期,也会将其标记为不受信任。 在基于证书的身份验证中合并 CRL 可确保仅接受有效的未吊销证书,Microsoft Entra ID 阻止使用吊销的证书进行的任何尝试。
CRL 由 CA 进行数字签名,并发布到可公开访问的位置,允许通过 Internet 下载 CRL 以验证证书的吊销状态。 当客户端提供证书进行身份验证时,系统将检查 CRL 以确定证书是否已吊销。
如果在 CRL 中找到证书,则会拒绝身份验证尝试。 CRL 通常定期更新,组织应确保其具有最新版本的 CRL,以便对证书有效性做出准确的决策。
在Microsoft基于证书的身份验证(CBA)中,配置 CRL 时,系统必须在身份验证期间检索和验证 CRL。 如果Microsoft Entra ID 无法访问 CRL 终结点,身份验证会失败,因为需要 CRL 来确认证书有效性。
CRL 在基于证书的身份验证中的工作原理
CRL 的工作原理是提供一种机制来检查用于身份验证的证书的有效性。 此过程涉及几个关键步骤:
证书颁发: 当 CA 颁发证书时,除非之前吊销证书,否则该证书在到期日期之前有效。 每个证书都包含一个公钥,并由 CA 签名。
撤销: 如果需要吊销证书(例如,私钥已泄露或不再需要证书),则 CA 会将其添加到 CRL。
CRL 分发: CA 将 CRL 发布到客户端可访问的位置,例如 Web 服务器或目录服务。 CRL 通常由 CA 签名,以确保其完整性。 如果 CRL 未由 CA 签名,则会引发加密错误 AADSTS2205015。可以按照 常见问题解答 中的步骤排查问题。
客户端检查: 当客户端提供用于身份验证的证书时,系统会从其已发布的位置检索证书链中每个 CA 的 CRL,并检查任何已吊销的 CA。 如果任何 CRL 位置不可用,身份验证将失败,因为系统无法验证证书的吊销状态。
认证: 如果在 CRL 中找到证书,则会拒绝身份验证尝试,并拒绝客户端访问。 如果证书不在 CRL 中,身份验证会正常进行。
CRL 更新: CRL 由 CA 定期更新,客户端应确保其具有最新版本,以便对证书有效性做出准确的决策。 系统会缓存 CRL 一段时间,以减少网络流量并提高性能,但它也会定期检查更新。
了解基于 entra 证书的身份验证Microsoft证书吊销过程
证书吊销过程使身份验证策略管理员能够撤销以前颁发的证书,以便它不能用于将来的身份验证。
身份验证策略管理员在设置过程中为 Microsoft Entra 租户中受信任的颁发者配置 CRL 分发点。 每个受信任的颁发者都应有一个 CRL,可以使用面向 Internet 的 URL 进行引用。 有关详细信息,请参阅 “配置证书颁发机构”。
Microsoft Entra ID 仅支持一个 CRL 终结点,并且仅支持 HTTP 或 HTTPS。 建议使用 HTTP 而不是 HTTPS 进行 CRL 分发。 在基于证书的身份验证期间进行 CRL 检查,检索 CRL 时出现任何延迟或失败都可能会阻止身份验证。 使用 HTTP 可最大程度地减少延迟,并避免 HTTPS 导致的潜在循环依赖项(这本身需要证书验证)。 为了确保可靠性,在高可用性 HTTP 终结点上托管 CRL,并验证它们是否可通过 Internet 访问。
重要
Microsoft在交互式登录上成功下载的 CRL 的最大大小为 20 MB(在公共Microsoft Entra ID 和 Azure 美国政府云中为 45 MB)。 下载 CRL 所需的时间不得超过 10 秒。 如果Microsoft Entra ID 无法下载 CRL,则使用相应 CA 颁发的证书进行基于证书的身份验证会失败。 最佳做法是将 CRL 文件保持在大小限制内,将证书生存期保持在合理的限制内,并清理过期的证书。
当用户使用证书执行交互式登录时,Microsoft Entra ID 从其证书颁发机构下载并缓存客户的证书吊销列表(CRL),以检查证书是否在用户身份验证期间吊销。 Microsoft Entra 使用 SubjectKeyIdentifier 属性而不是 SubjectName 来生成证书链。 启用 CRL 后,PKI 配置必须包括 SubjectKeyIdentifier 和颁发机构密钥标识符值,以确保进行适当的吊销检查。
SubjectKeyIdentifier 为证书的公钥提供唯一的不可变标识符,使其比 SubjectName 更可靠,该标识符可以更改或复制跨证书。 此属性可确保在复杂的 PKI 环境中进行准确的链生成和一致的 CRL 验证。
重要
如果身份验证策略管理员跳过 CRL 的配置,Microsoft Entra ID 不会在用户的基于证书的身份验证期间执行任何 CRL 检查。 此行为对于初始故障排除非常有用,但不应考虑用于生产用途。
仅基本 CRL:仅配置基本 CRL 时,Microsoft Entra ID 下载并缓存它,直到下一个更新时间戳为止。 如果 CRL 已过期且由于连接问题或 CRL 终结点未提供更新版本而无法刷新,身份验证将失败。 Microsoft Entra 严格强制实施 CRL 版本控制:发布新的 CRL 时,其 CRL 编号必须高于以前的版本。
CRL 数字可确保单调版本控制,防止重播攻击,其中可以重新引入较旧的 CRL 以绕过吊销检查。 通过要求每个新的 CRL 具有更高的版本号,Microsoft Entra ID 保证始终使用最新的吊销数据。
Base + Delta CRL:配置两者时,两者都必须有效且可访问。 如果缺少或已过期,则证书验证会根据 RFC 5280 标准失败。
如果为受信任的颁发者配置了 CRL,并且由于可用性、大小或延迟约束,Microsoft Entra ID 无法下载 CRL,则基于证书的用户身份验证将失败。 此限制使 CRL 终结点成为关键的单一故障点,从而减少了 Microsoft Entra ID 的基于证书的身份验证的复原能力。 为了缓解此风险,我们建议使用高可用性解决方案来确保 CRL 终结点的持续运行时间。
如果 CRL 超出云的交互式限制,用户的初始登录将失败,并出现以下错误:
The Certificate Revocation List (CRL) downloaded from {uri} has exceeded the maximum allowed size ({size} bytes) for CRLs in Microsoft Entra ID. Try again in few minutes. If the issue persists, contact your tenant administrators.Microsoft Entra ID 尝试下载受服务端限制(公共Microsoft Entra ID 为 45 MB 的 CRL,在 Azure 中为美国政府下载 150 MB)。
用户可在几分钟后重试身份验证。 如果用户的证书被吊销并显示在 CRL 中,身份验证将失败。
重要
由于 CRL 缓存,吊销的证书的令牌吊销并不直接。 如果已缓存 CRL,则在缓存使用更新的 CRL 刷新之前,不会检测到新吊销的证书。 增量 CRL 通常包括这些更新,因此在加载增量 CRL 后,吊销将生效。 如果未使用增量 CRL,则吊销取决于基本 CRL 的有效期。 仅当立即吊销至关重要(例如在高安全性方案中),管理员才应手动吊销令牌。 有关详细信息,请参阅 “配置吊销”。
由于性能和可靠性原因,我们不支持联机证书状态协议(OCSP)。 Microsoft Entra ID 在第一次登录时下载一次,而不是在 OCSP 的客户端浏览器的每个连接处下载 CRL 并缓存它。 此作可提高 CRL 验证的性能和可靠性。 我们还对缓存编制索引,以便每次搜索都快得多。
如果 Microsoft Entra 成功下载 CRL,它将缓存并重复使用 CRL 以供任何后续使用。 它遵循 下一个更新日期 ,并在 CRL 文档中使用下一个 CRL 发布日期 (由 Windows Server CA 使用)。
如果用户的证书在 CRL 上列为已吊销,用户身份验证将失败。
重要
由于 CRL 缓存和发布周期的性质,强烈建议,如果有证书吊销,则还会在 Microsoft Entra ID 中撤销受影响用户的所有会话。
如果缓存的 CRL 文档已过期,Microsoft Entra ID 会尝试从分发点预提取新的 CRL。 如果 CRL 具有“下一个发布日期”Microsoft Entra 会执行 CRL 预提取,即使缓存中的 CRL 未过期。 到目前为止,无法手动强制或重新尝试下载 CRL。
注释
Microsoft Entra ID 会检查发证 CA 的 CRL 以及 PKI 信任链中指向根 CA 的其他 CA 的 CRL。 在 PKI 链中,对于 CRL 验证的叶客户端证书,我们最多只能有 10 个 CA。 限制是确保不良参与者不会通过上传具有大量 CRL 大小的 CA 的 PKI 链来降低服务。 如果租户的 PKI 链具有 10 个以上的 CA,并且存在 CA 泄露,身份验证策略管理员应从 Microsoft Entra 租户配置中删除已泄露的受信任颁发者。 有关详细信息,请参阅 CRL 预提取。
如何配置吊销
若要吊销客户端证书,Microsoft Entra ID 从作为证书颁发机构信息的一部分上传的 URL 提取证书吊销列表(CRL),并将其缓存。 CRL 中的最后一个发布时间戳(有效日期 属性)用于确保 CRL 仍然有效。 将定期引用 CRL 以撤销对属于列表一部分的证书的访问权限。
使用 Entra CBA 立即吊销会话
有许多方案可能要求管理员立即撤销所有会话令牌,以便撤销用户的所有访问权限。 此类情景包括
- 已被盗用的帐户
- 员工离职
- Entra故障,其中使用不含CRL验证的缓存凭据
- 其他内部威胁。
如果需要更即时的吊销(例如,如果用户丢失设备),则用户的授权令牌可能会失效。 若要使授权令牌失效,请使用 Windows PowerShell 为此特定用户设置 StsRefreshTokensValidFrom 字段。 必须为要撤销访问权限的每个用户更新 StsRefreshTokensValidFrom 字段。
若要确保吊销仍然存在,必须将 CRL 的有效 日期 设置为 StsRefreshTokensValidFrom 设置的值之后的日期,并确保有问题的证书位于 CRL 中。
以下步骤概述了通过设置 StsRefreshTokensValidFrom 字段来更新和使授权令牌失效的过程。
# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"
# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"
# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom
设置的日期必须在未来。 如果日期不在将来,则未设置 StsRefreshTokensValidFrom 属性。 如果日期在将来, StsRefreshTokensValidFrom 将设置为当前时间(而不是由 Set-MsolUser 命令指示的日期)。
为 CA 强制实施 CRL 验证
将 CA 上传到 Microsoft Entra 信任存储时,无需包含 CRL 或 CrlDistributionPoint 属性。 在没有 CRL 终结点的情况下上传 CA,如果颁发 CA 未指定 CRL,则基于证书的身份验证不会失败。
为了增强安全性并避免配置错误,如果颁发最终用户证书的 CA 未配置 CRL,身份验证策略管理员可以要求 CBA 身份验证失败。
启用 CRL 验证
选择 “需要 CRL 验证”以启用 CRL 验证。
启用此设置时,如果最终用户证书来自未配置 CRL 的 CA,CBA 将失败。
如果 CA CRL 存在需要修复的问题,身份验证策略管理员可以免除 CA。 选择 “添加豁免 ”,然后选择要免除的任何 CA。
免除列表中的 CA 不需要配置 CRL,他们颁发的最终用户证书不会失败身份验证。
选择 CA,然后选择 “添加”。 使用 “搜索 ”文本框筛选 CA 列表并选择特定的 CA。
为 Microsoft Entra ID 设置 CRL(基 CRL 和增量 CRL)的指导
发布可访问 CRL:
- 确保 CA 将基本 CRL 和增量 CRL(如果适用)发布到可通过 HTTP 访问的面向 Internet 的 URL。
- Microsoft如果 CRL 托管在仅限内部的服务器上,则 Entra ID 无法验证证书。 URL 应具有高可用性、高性能和复原能力,以防止由于不可用而导致身份验证失败。
- 通过在浏览器中测试 CRL URL 并使用 certutil -url 进行分发检查来验证 CRL 辅助功能。
在 Microsoft Entra ID 中配置 CRL URL:
- 将 CA 公共证书上传到 Microsoft Entra ID 并配置 CRL 分发点(CDP)。
- 基本 CRL URL:包含所有吊销的证书。
- 增量 CRL URL(可选但建议):包含自上次发布基本 CRL 以来吊销的证书。
- 使用 certutil 等工具验证 CRL 有效性,并在本地排查证书和 CRL 问题。
设置有效期:
- 设置足够长的基本 CRL 有效期,以平衡运营开销和安全性(通常为数天到周)。
- 设置增量 CRL 有效期较短(通常为 24 小时),以便及时识别吊销的证书。
- 较短的增量 CRL 有效性通过减少吊销证书保持有效但会增加颁发和分发负载的窗口来提高安全性。
- 对于 Windows Server 上的增量 CRL,建议的 24 小时默认有效性是广泛接受的标准安全性和性能。
- Microsoft Entra ID 旨在有效地处理频繁的增量 CRL 更新,而不会降低性能,并且持续改进有助于进一步增强这一点。
- Microsoft Entra ID 应用限制机制,以防止增量 CRL 下载期间发生 DDoS 攻击,这可能会导致一小部分用户的临时错误,例如“AADSTS2205013”。
确保高可用性和性能:
- 在可靠的 Web 服务器或内容分发网络(CDN)上托管 CRL,以最大程度地减少检索过程中的延迟或故障。
- 主动监视 CRL 发布和辅助功能。
防范限制和分布式拒绝服务(DDoS)攻击:
- 为了保护Microsoft Entra ID 服务和用户,在高负载或潜在滥用期间,将限制应用于 CRL 提取作。
- 在非高峰时段计划 CRL 发布和过期周期,以尽量减少限制影响用户的可能性。
CRL 大小管理
- 最好通过频繁的增量 CRL 颁发和存档旧条目,使 CRL 有效负载尽可能小,以提高提取速度和降低带宽。
启用 CRL 验证
- 在 Microsoft Entra ID 策略中强制实施 CRL 验证,以确保检测到吊销的证书。 有关详细信息,请参阅 “启用 CRL 验证”。
- 考虑暂时绕过 CRL 检查只是故障排除过程中的最后手段,了解安全风险。
测试和监视
- 执行常规测试,验证 CRL 是否可通过Microsoft Entra ID 正确下载和识别。
- 使用监视来检测和快速修正任何 CRL 可用性或验证问题。
CRL 错误参考
| 错误代码和消息 | Description | 常见原因 | Recommendations |
|---|---|---|---|
| AADSTS500171:证书已被吊销。 请与管理员联系。 | 证书位于 CRL 中,指示证书已吊销。 | 证书由管理员吊销。 | 如果证书错误地包含在 CRL 中,请让颁发 CA 重新发出 CRL,其中包含准确反映预期吊销的更新列表。 |
| AADSTS500172:“{issuer}”颁发的证书“{name}”无效。 当前时间:“{curTime}”。 Certificate NotBefore: “{startTime}”。 Certificate NotAfter: “{endTime}”。 | CRL 在时间上无效。 | 用于验证证书的 CRL 或增量 CRL 存在计时问题,例如过期 CRL 或错误配置的发布/有效期。 | - 确认证书的 NotBefore 和 NotAfter 日期正确包含当前时间。 - 验证 CA 发布的基 CRL 和增量 CRL 是否已过期。 |
| AADSTS500173: >无法下载证书吊销列表(CRL)。 来自 CRL 分发点的状态代码 {code} 无效。 请与管理员联系。 | 由于终结点问题,无法下载 CRL。 | - CRL 终结点返回 HTTP 错误(如 403) - CRL 已过期,无更新 |
- 确认 CRL 终结点返回有效数据 - 确保 CA 定期发布更新的 CRL - 由于网络问题、防火墙块或服务器停机,CRL URL 无法访问。 - 启用 CRL 故障安全以阻止无法验证的证书。 |
| AADSTS500174:无法从响应构造有效的证书吊销列表(CRL)。 | Microsoft Entra ID 无法分析或使用从指定分发点检索的 CRL。 | - 由于网络问题、防火墙块或服务器停机,CRL URL 无法访问。 - 下载的 CRL 文件已损坏、不完整或格式不正确。 - 证书 CDP 字段中的 URL 不指向有效的 CRL 文件或配置错误。 |
- 验证 CRL 辅助功能、有效性和完整性。 - 检查 CRL 文件是否有损坏或不完整的内容。 |
| AADSTS500175:吊销检查失败,因为链中一个证书的证书吊销列表(CRL)缺失。 | 在证书吊销检查期间,Microsoft Entra 找不到证书吊销列表(CRL)的必需段或部分。 | - 从 CRL 分发点(CDP)下载的 CRL 文件已损坏或截断。 - CA 发布 CRL 不正确或不完整。 - 导致 CRL 下载不完整或失败的网络问题。 - CRL 分发点 URL 或文件段配置错误。 |
- 验证 CRL 完整性 - 重新发布或重新生成 CRL - 检查网络和代理设置 - 在所有 CA 上确保正确的 CDP 配置 |
| AADSTS500176:尚未在租户中设置颁发证书的证书颁发机构。 请与管理员联系。 | Microsoft Entra 在其受信任的证书存储中找不到颁发 CA 证书。 这可以防止成功验证用户证书的信任链。 | - 颁发 CA 证书(根证书或中间证书)未在Microsoft Entra ID 受信任的证书列表中上传或配置。 - 存储在客户端或设备上的证书链无法正确链接到受信任的 CA 证书。 - 证书链中的使用者密钥标识符(SKI)和颁发机构密钥标识符(AKI)引用不匹配或缺失。 - 颁发证书可能已过期、吊销或无效。 |
- 租户管理员应通过 Microsoft Entra 管理中心将所有相关根证书和中间 CA 证书上传到 Microsoft Entra 受信任的证书存储。 - 确认发证 CA 证书的 SKI 与用户的证书中的 AKI 匹配,以确保正确的链链接。 - 使用 certutil 或 OpenSSL 等工具验证完整证书链是否完好无损、未中断且受信任。 - 替换受信任存储区中任何过期或吊销的 CA 证书,以保持链有效性。 |
| AADSTS500177:证书吊销列表(CRL)配置错误。 在没有相应的基本 CRL 分发点的情况下配置增量 CRL 分发点。 请与管理员联系。 | 指示 CA 配置包括 Delta CRL 分发点,但相应的基本 CRL 分发点缺失或未正确配置。 | - 证书或 CA 设置中配置的 CRL 分发点(CDP)无效、不可访问或 URL 不正确。 - CA 未正确发布 CRL 或 CRL 已过期,导致验证失败。 - 设备或Microsoft Entra ID 服务由于防火墙规则、代理限制或网络连接问题而无法访问 CRL URL。 - Microsoft Entra 或与 CRL 处理相关的证书颁发机构中配置错误的设置。 |
- 确认 CRL 分发点并将其更新为准确且可公开访问的 URL。 - 确保在到期前定期发布和续订 CRL。 尽可能自动执行 CRL 发布。 - 通过更新防火墙、代理或安全设备规则,允许向 CRL 分发点发送必要的网络流量。 - 验证下载的 CRL 是否损坏或截断,并在必要时重新发布。 - 仔细检查 Microsoft与 CRL 发布、URL 和验证策略相关的条目 ID 和 CA 配置。 |
| AADSTS500178:无法检索 {type} 的有效 CRL 段。 请稍后重试。” | Microsoft在证书验证期间,Entra ID 无法下载或处理证书吊销列表(CRL)的所有必需段。 | - CRL 在多个段中发布,一个或多个段缺失、损坏或无法访问。 - 网络限制或防火墙阻止访问一个或多个 CRL 段。 - 可用的 CRL 段可能已过期或未正确更新。 - 证书的 CRL 分发点中托管段的 URL 不正确或缺少条目。 |
- 从分发点手动下载所有 CRL 段,并检查完整性和有效性。 - 确保正确配置并可访问所有 CRL 段 URL。 如果 CDP URL 已更改,请更新证书或 CA 配置。 - 确认 CA 发布和维护所有 CRL 段,而不会损坏或缺少部件。 |
| AADSTS500179:CRL 验证超时。请稍后重试。 | CRL 下载超时或中断。 | - CRL 大小超过限制 - 网络延迟或不稳定 |
- 使 CRL 大小保持在 20MB(商业 Azure)或 45MB(适用于美国政府的 Azure) - 将间隔设置为 Next Update 至少一周- 通过登录日志监视 CRL 下载性能。 |
| AADSTS500183:证书已被吊销。 请联系管理员 | 身份验证尝试失败,因为客户端设备提供了颁发 CA 吊销的证书。 | 用于身份验证的证书在证书吊销列表(CRL)中找到,或被 CA 标记为已吊销。 | - 租户管理员应确保Microsoft Entra ID 正确预配并信任新证书。 - 验证 CA 发布的 CRL 和增量 CRL 是否为最新且可供设备访问。 |
| AADSTS2205011:下载的证书吊销列表(CRL)不是有效的 ASN.1 编码格式。 请与管理员联系。 | Microsoft Entra 提取的 CRL 文件未按照抽象语法表示法 1(ASN.1) 可分辨编码规则 (DER) 标准进行正确编码,这是分析和验证 CRL 数据所必需的。 | - 在发布或传输期间,CRL 文件已损坏或截断。 - CRL 由 CA 生成或编码不正确,不符合 ASN.1 DER 标准。 - 文件格式转换(如 base64/PEM 编码不当)损坏了 CRL 数据。 |
- 手动下载 CRL 并使用 openssl 或专用 ASN.1 分析程序等工具对其进行检查,以确认它是否已损坏或格式不正确。 - 从 CA 重新生成和重新发布 CRL,确保符合 ASN.1 DER 编码标准。 - 确保生成 CRL 的 CA 软件或工具符合 RFC 5280,并正确编码 ASN.1 DER 格式的 CRL。 |
| AADSTS2205012:在交互式登录期间尝试从“{uri}”下载证书吊销列表(CRL)已超时。我们正尝试再次下载。 请在几分钟后重试。 | Microsoft Entra ID 无法在指定 URL 的预期时间内检索 CRL 文件。 | - Microsoft Entra ID 服务由于网络中断、防火墙限制或 DNS 故障而无法访问 CRL 分发点。 - 托管 CRL 的服务器会及时关闭、重载或未响应。 - 大型 CRL 下载需要更长的时间,这可能会导致超时。 |
- 使用增量 CRL 使 CRL 文件大小更小并更频繁地刷新,以减少下载时间。 - 在非高峰时段发布或刷新 CRL,以减少服务器负载并提高响应时间。 - 监视和维护 CRL 托管服务器的高可用性和性能。 |
| AADSTS2205013:证书吊销列表(CRL)下载当前正在进行中。 请在几分钟后重试。 | 当多次身份验证尝试同时触发 CRL 下载时发生,并且系统仍在处理当前的 CRL 检索。 | - CRL 过期或即将过期时,多个用户同时登录可能会导致同时尝试下载新的 CRL。 - Microsoft Entra ID 应用锁定机制,以防止并发下载相同的 CRL 以减少负载和潜在的争用条件。这会导致使用此重试消息暂时拒绝某些身份验证请求。 - 大型用户群体或大量登录突发可能会增加此错误的频率。 |
- 在重试登录之前,允许正在进行的 CRL 下载完成几分钟。 - 确保 CRL 在到期前定期发布和更新,以减少强制重新下载。 |
| AADSTS2205014:尝试在交互式登录期间从“{uri}”下载证书吊销列表(CRL)已超过允许的最大大小({size} 字节)。 CRL 正在预配 CRL 的服务下载限制,请在几分钟后重试。 | 尝试下载的 CRL 文件Microsoft Entra ID 大于服务设置的大小限制。 Microsoft Entra 将尝试以更高的限制在后台下载。 | - CA 发布的 CRL 文件太大,通常是由于大量吊销的证书。 - 如果未清理吊销的证书,或者 CA 保留长时间的吊销数据,则可能会出现大型 CRL。 - 在基于证书的身份验证期间,大型 CRL 大小会增加下载时间和资源消耗。 |
- 从 CA 数据库中删除过期或过期的已吊销证书。 - 缩短 CRL 有效期并增加发布频率,使 CRL 大小可管理。 - 实现增量 CRL 以仅分发增量吊销信息并减少带宽。 |
| AADSTS2205015:证书吊销列表(CRL)未能通过签名验证。 预期的 SubjectKeyIdentifier {expectedSKI} 与 CRL 的 AuthorityKeyIdentifier {crlAK} 不匹配。 请与管理员联系。 | 无法验证 CRL 上的加密签名,因为 CRL 由使用者密钥标识符(SKI)与Microsoft Entra ID 预期的颁发机构密钥标识符(AKI)不匹配的证书签名。 | - 用于对 CRL 进行签名的 CA 证书已更改,但受信任的证书列表中未更新或同步新的 SKI。 - 由于 PKI 层次结构中的配置错误,CRL 已过时或不匹配。 - 受信任证书列表中的中间 CA 证书不正确或缺失。 - CRL 签名证书可能没有用于签名 CRL 的相应密钥用法。 |
- 检查 CA 证书签名的使用者密钥标识符(SKI)与 CRL 中的颁发机构密钥标识符(AKI)匹配。 - 确认签名 CA 证书已上传并在 Microsoft Entra ID 中受信任。 - 验证用于对 CRL 进行签名的 CA 证书是否已启用相应的密钥使用标志(例如 CRL 签名),并验证证书链是否完好无损且未中断。 - 在 Microsoft Entra ID 的受信任证书颁发机构列表中上传或更新正确的根和中间 CA 证书,并确保包含并正确配置用于对 CRL 进行签名的证书。 |
| AADSTS7000214:证书已被吊销。 | 证书已被吊销。 | - CRL 中列出的证书 | - 替换吊销的证书 - 使用 CA 调查吊销原因 - 监视证书生命周期和续订 |
常见问题
下一节介绍与证书吊销列表相关的常见问题和解答。
CRL 大小是否有限制?
以下 CRL 大小限制适用:
- 交互式登录下载限制:20 MB(Azure 全球包括 GCC)、45 MB for(Azure 美国政府,包括 GCC High、防御部)
- 服务下载限制:65 MB(Azure 全球包括 GCC)、150 MB(Azure 美国政府,包括 GCC High、防御部)
CRL 下载失败时,将显示以下消息:
“从 {uri} 下载的证书吊销列表 (CRL) 已超过 Microsoft Entra ID 中 CRL 允许的最大大小({size} 字节)。 在几分钟内重试。 如果问题仍然存在,请与租户管理员联系。
下载仍保留在后台,限制更高。
我们正在审查这些限制的影响,并制定删除这些限制的计划。
我看到有效的证书吊销列表(CRL)终结点集,但我为什么看不到任何 CRL 吊销?
- 确保 CRL 分发点设置为有效的 HTTP URL。
- 确保可通过面向 Internet 的 URL 访问 CRL 分发点。
- 确保 CRL 大小在限制范围内。
如何立即吊销证书?
按照步骤 手动吊销证书。
如何打开或关闭特定 CA 的证书吊销检查?
建议不要禁用证书吊销列表(CRL)检查,因为无法吊销证书。 但是,如果需要调查 CRL 检查问题,可以在 Microsoft Entra 管理中心中免除 CRL 检查的 CA。 在 CBA 身份验证方法策略中,选择“ 配置 ”,然后选择“ 添加豁免”。 选择要免除的 CA,然后选择“ 添加”。
配置 CRL 终结点后,最终用户无法登录,他们会看到“AADSTS500173:无法下载 CRL。 禁止从 CRL 分发点访问状态代码。”
当问题阻止Microsoft Entra 下载 CRL 时,原因通常是防火墙限制。 在大多数情况下,可以通过更新防火墙规则来允许所需的 IP 地址来解决此问题,以便Microsoft Entra 可以成功下载 CRL。 有关详细信息,请参阅 Microsoft IPAddress 的列表。
如何查找 CA 的 CRL,或者如何排查错误“AADSTS2205015:证书吊销列表(CRL)签名验证失败”?
下载 CRL 并比较 CA 证书和 CRL 信息,以验证该值是否 crlDistributionPoint 对要添加的 CA 有效。 通过将 CA 的颁发者主体密钥标识符(SKI)与 CRL(CA 颁发者 SKI == CRL AKI)的颁发者密钥标识符(AKI)匹配,可以将 CRL 配置为相应的 CA。
下表和图显示了如何将 CA 证书中的信息映射到下载的 CRL 的属性。
| CA 证书信息 | = | 下载的 CRL 信息 |
|---|---|---|
| Subject | = | 发行人 |
| 使用者密钥标识符(SKI) | = | 颁发机构密钥标识符(KeyID) |
