Liste de révocation de certificats (CRL) d’authentification basée sur les certificats Microsoft Entra

Une liste de révocation de certificats (CRL) est une liste de certificats qui ont été révoqués par l’autorité de certification émettrice avant leur date d’expiration planifiée. Les listes de révocation de certificats sont essentielles pour maintenir l’intégrité de l’authentification. Lorsqu’un certificat est révoqué, il est marqué comme non approuvé, même s’il n’a pas expiré. L’incorporation de listes de révocation de certificats dans l’authentification basée sur des certificats garantit que seuls les certificats valides et non révoqués sont acceptés, et Microsoft Entra ID bloque toute tentative à l’aide d’un certificat révoqué.

Les listes de révocation de certificats sont signées numériquement par l’autorité de certification et publiées sur des emplacements accessibles publiquement, ce qui leur permet d’être téléchargées sur Internet pour vérifier l’état de révocation des certificats. Lorsqu’un client présente un certificat pour l’authentification, le système vérifie la liste de révocation de certificats pour déterminer si le certificat a été révoqué.

Si le certificat se trouve dans la liste de révocation de certificats, la tentative d’authentification est rejetée. Les listes de révocation de certificats sont généralement mises à jour régulièrement et les organisations doivent s’assurer qu’elles disposent de la dernière version de la liste de révocation de certificats pour prendre des décisions précises sur la validité du certificat.

Dans l’authentification basée sur les certificats (CBA) Microsoft Entra, lorsque les listes de révocation de certificats sont configurées, le système doit récupérer et valider la liste de révocation de certificats pendant l’authentification. Si l’ID Microsoft Entra ne peut pas accéder au point de terminaison de la liste de révocation de certificats, l’authentification échoue, car la liste de révocation de certificats est requise pour confirmer la validité du certificat.

Fonctionnement d’une liste de révocation de certificats dans l’authentification basée sur des certificats

Une liste de révocation de certificats fonctionne en fournissant un mécanisme permettant de vérifier la validité des certificats utilisés pour l’authentification. Le processus implique plusieurs étapes clés :

Émission de certificat : Lorsqu’un certificat est émis par une autorité de certification, il est valide jusqu’à sa date d’expiration, sauf s’il est révoqué précédemment. Chaque certificat contient une clé publique et est signé par l’autorité de certification.
Révocation: Si un certificat doit être révoqué (par exemple, si la clé privée est compromise ou si le certificat n’est plus nécessaire), l’autorité de certification l’ajoute à la liste de révocation de certificats.
Distribution de liste de révocation de certificats : L’autorité de certification publie la liste de révocation de certificats sur un emplacement accessible par les clients, comme un serveur web ou un service d’annuaire. La liste de révocation de certificats est généralement signée par l’autorité de certification pour garantir son intégrité. Si la liste de révocation de certificats n'est pas signée par l'autorité de certification, une erreur de chiffrement AADSTS2205015 est générée. Consultez les étapes dans les FAQ pour résoudre le problème.
Vérification du client : Lorsqu’un client présente un certificat pour l’authentification, le système récupère la liste de révocation de certificats pour chaque autorité de certification dans la chaîne de certificats à partir de ses emplacements publiés et vérifie les autorités de certification révoquées. Si un emplacement de liste de révocation de certificats n’est pas disponible, l’authentification échoue car le système ne peut pas vérifier l’état de révocation du certificat.
Authentification: Si le certificat se trouve dans la liste de révocation de certificats, la tentative d’authentification est rejetée et le client est refusé. Si le certificat n’est pas dans la liste de révocation de certificats, l’authentification se poursuit normalement.
Mises à jour de la liste de révocation de certificats : La liste de révocation de certificats est mise à jour régulièrement par l’autorité de certification et les clients doivent s’assurer qu’elles disposent de la dernière version pour prendre des décisions précises sur la validité du certificat. Le système met en cache la liste de révocation de certificats pendant une certaine période pour réduire le trafic réseau et améliorer les performances, mais il vérifie également régulièrement les mises à jour.

Présentation du processus de révocation de certificats dans l’authentification basée sur les certificats Microsoft Entra

Le processus de révocation de certificat permet aux administrateurs de stratégie d’authentification de révoquer un certificat émis précédemment afin qu’il ne puisse pas être utilisé pour l’authentification future.

Les administrateurs de stratégie d’authentification configurent le point de distribution de liste de révocation de certificats pendant le processus d’installation des émetteurs approuvés dans le locataire Microsoft Entra. Chaque émetteur approuvé doit avoir une liste de révocation de certificats que vous pouvez référencer à l’aide d’une URL accessible sur Internet. Pour plus d’informations, consultez Configurer les autorités de certification.

Microsoft Entra ID ne prend en charge qu’un seul point de terminaison de liste de révocation de certificats et prend uniquement en charge HTTP ou HTTPS. Nous vous recommandons d’utiliser HTTP au lieu de HTTPS pour la distribution de liste de révocation de certificats. Les vérifications de la liste de révocation de certificats se produisent pendant l’authentification basée sur un certificat, et tout retard ou échec lors de la récupération de la liste de révocation de certificats peut bloquer l’authentification. L’utilisation de HTTP réduit la latence et évite les dépendances circulaires potentielles provoquées par HTTPS (qui nécessite elle-même une validation de certificat). Pour garantir la fiabilité, hébergez des listes de révocation de certificats sur des points de terminaison HTTP hautement disponibles et vérifiez qu’elles sont accessibles sur Internet.

Important

La taille maximale d’une liste de révocation de certificats pour Microsoft Entra ID à télécharger avec succès sur une connexion interactive est de 20 Mo dans l’ID Microsoft Entra public et de 45 Mo dans les clouds Azure US Government. La durée requise pour télécharger la liste de révocation de certificats ne doit pas dépasser 10 secondes. Si l’ID Microsoft Entra ne peut pas télécharger une liste de révocation de certificats, les authentifications basées sur des certificats à l’aide de certificats émis par l’autorité de certification correspondante échouent. Il est recommandé de conserver les fichiers de liste de révocation de certificats dans les limites de taille, de conserver les durées de vie des certificats dans des limites raisonnables et de nettoyer les certificats expirés.

Lorsqu’un utilisateur effectue une connexion interactive avec un certificat, l’ID Microsoft Entra télécharge et met en cache la liste de révocation de certificats du client auprès de son autorité de certification pour vérifier si les certificats sont révoqués pendant l’authentification de l’utilisateur. Microsoft Entra utilise l’attribut SubjectKeyIdentifier au lieu de SubjectName pour générer la chaîne de certificats. Lorsque les listes de révocation sont activées, les configurations PKI doivent inclure des valeurs SubjectKeyIdentifier et d’identificateur de clé d’autorité pour garantir une vérification de révocation appropriée.

SubjectKeyIdentifier fournit un identificateur unique et immuable pour la clé publique du certificat, ce qui le rend plus fiable que SubjectName, qui peut changer ou être dupliqué entre les certificats. Cet attribut garantit une création de chaîne précise et une validation cohérente de la liste de révocation de certificats dans des environnements À clé publique complexes.

Important

Si un administrateur de stratégie d’authentification ignore la configuration de la liste de révocation de certificats, l’ID Microsoft Entra n’effectue aucune vérification de liste de révocation de certificats pendant l’authentification basée sur le certificat de l’utilisateur. Ce comportement peut être utile pour la résolution des problèmes initiales, mais ne doit pas être pris en compte pour une utilisation en production.
- Liste de révocation de certificats de base uniquement : si seule la liste de révocation de certificats de base est configurée, l’ID Microsoft Entra télécharge et le met en cache jusqu’à l’horodatage de la prochaine mise à jour. L’authentification échoue si la liste de révocation de certificats a expiré et ne peut pas être actualisée en raison de problèmes de connectivité ou si le point de terminaison de liste de révocation de certificats ne fournit pas de version mise à jour. Microsoft Entra applique strictement le contrôle de version de liste de révocation de certificats : lorsqu’une nouvelle liste de révocation de certificats est publiée, son numéro de liste de révocation de certificats doit être supérieur à la version précédente.
  
  Le numéro de liste de révocation de certificats garantit le contrôle de version monotonique, empêchant les attaques par relecture où une liste de révocation plus ancienne pourrait être réintroduite pour contourner les vérifications de révocation. En exigeant que chaque nouvelle liste de révocation de certificats dispose d’un numéro de version supérieur, Microsoft Entra ID garantit que les données de révocation les plus récentes sont toujours utilisées.
- Liste de révocation de certificats Base + Delta : lorsque les deux sont configurés, les deux doivent être valides et accessibles. En cas d’absence ou d’expiration, la validation de certificat échoue selon les normes RFC 5280.
L’authentification basée sur un certificat utilisateur échoue si une liste de révocation de certificats est configurée pour l’émetteur approuvé et que l’ID Microsoft Entra ne peut pas télécharger la liste de révocation de certificats en raison de contraintes de disponibilité, de taille ou de latence. Cette limitation rend le point de terminaison de la liste de révocation de certificats un point de défaillance critique, ce qui réduit la résilience de l’authentification basée sur les certificats de Microsoft Entra ID. Pour atténuer ce risque, nous vous recommandons d’utiliser des solutions hautement disponibles qui garantissent un temps de fonctionnement continu pour les points de terminaison de liste de révocation de certificats.
Si la liste de révocation de certificats dépasse la limite interactive pour un cloud, la connexion initiale de l’utilisateur échoue avec l’erreur suivante :

The Certificate Revocation List (CRL) downloaded from {uri} has exceeded the maximum allowed size ({size} bytes) for CRLs in Microsoft Entra ID. Try again in few minutes. If the issue persists, contact your tenant administrators.
Microsoft Entra ID tente de télécharger la liste de révocation de certificats soumis aux limites côté service (45 Mo dans l’ID Microsoft Entra public et 150 Mo dans Azure pour le gouvernement des États-Unis).
Les utilisateurs peuvent réessayer l’authentification après quelques minutes. Si le certificat de l’utilisateur est révoqué et apparaît dans la liste de révocation de certificats, l’authentification échoue.

Important

La révocation de jetons pour un certificat révoqué n’est pas immédiate en raison de la mise en cache de la liste de révocation de certificats. Si une liste de révocation de certificats est déjà mise en cache, les certificats nouvellement révoqués ne sont pas détectés tant que le cache n’est pas actualisé avec une liste de révocation de certificats mise à jour. Les listes de révocation de certificats delta incluent généralement ces mises à jour. Par conséquent, la révocation prend effet une fois la liste de révocation de certificats delta chargée. Si les listes de révocation de certificats delta ne sont pas utilisées, la révocation dépend de la période de validité de la liste de révocation de certificats de base. Les administrateurs doivent révoquer manuellement des jetons uniquement lorsque la révocation immédiate est critique, par exemple dans les scénarios de haute sécurité. Pour plus d’informations, consultez Configurer la révocation.
Nous ne prenons pas en charge le protocole OCSP (Online Certificate Status Protocol) en raison des raisons de performances et de fiabilité. Au lieu de télécharger la liste de révocation de certificats à chaque connexion par le navigateur client pour OCSP, l’ID Microsoft Entra le télécharge une fois lors de la première connexion et le met en cache. Cette action améliore les performances et la fiabilité de la vérification de la liste de révocation de certificats. Nous indexons également le cache afin que la recherche soit beaucoup plus rapide à chaque fois.
Si Microsoft Entra télécharge correctement la liste de révocation de certificats, il met en cache et réutilise la liste de révocation de certificats pour toute utilisation ultérieure. Il respecte la date de mise à jour suivante et, s’il est disponible, date de publication de la liste de révocation de certificats suivant (utilisée par les autorités de certification Windows Server) dans le document de liste de révocation de certificats.
Si le certificat de l’utilisateur est répertorié comme révoqué sur la liste de révocation de certificats, l’authentification utilisateur échoue.

Important

En raison de la nature des cycles de mise en cache et de publication de la liste de révocation de certificats, il est vivement recommandé que, s’il existe une révocation de certificats, vous révoquez également toutes les sessions de l’utilisateur concerné dans l’ID Microsoft Entra.
Microsoft Entra ID tente de pré-extraire une nouvelle liste de révocation de certificats à partir du point de distribution si le document de liste de révocation de certificats mis en cache a expiré. Si la liste de révocation de certificats a une « Date de publication suivante » Microsoft Entra effectue une pré-extraction de liste de révocation de certificats même si la liste de révocation de certificats dans le cache n’a pas expiré. À l’heure actuelle, il n’existe aucun moyen de forcer ou de retentant manuellement le téléchargement de la liste de révocation de certificats.

Note

Microsoft Entra ID vérifie la liste de révocation de certificats de l’autorité de certification émettrice et d’autres autorités de certification dans la chaîne d’approbation PKI jusqu’à l’autorité de certification racine. Nous avons une limite allant jusqu’à 10 autorités de certification du certificat client de nœud terminal pour la validation de la liste de révocation de certificats dans la chaîne PKI. La limitation est de s’assurer qu’un mauvais acteur ne fait pas descendre le service en chargeant une chaîne d’infrastructure à clé publique avec un grand nombre d’autorités de certification avec une plus grande taille de liste de révocation de certificats. Si la chaîne PKI du locataire comporte plus de 10 autorités de certification et s’il existe une compromission de l’autorité de certification, les administrateurs de stratégie d’authentification doivent supprimer l’émetteur approuvé compromis de la configuration du locataire Microsoft Entra. Pour plus d’informations, consultez pré-extraction de liste de révocation de certificats.

Guide pratique pour configurer la révocation

Pour révoquer un certificat client, Microsoft Entra ID extrait la liste de révocation de certificat (CRL) depuis les URL téléchargées dans le cadre des informations sur l’autorité de certification et la met en cache. L’horodateur de la dernière publication (propriétéEffective Date ) dans la liste de révocation de certificat permet de vérifier si la CRL est toujours valide. La CRL est référencée périodiquement pour révoquer l’accès à des certificats qui font partie de la liste.

Révocation immédiate des sessions avec Entra CBA

Il existe de nombreux scénarios qui peuvent exiger qu’un administrateur révoque immédiatement tous les jetons de session afin que tous les accès d’un utilisateur soient révoqués. Ces scénarios incluent notamment

comptes compromis
licenciement de l’employé
Panne Entra où les informations d’identification mises en cache sont utilisées qui n'inclut pas la validation de la liste de révocation de certificats (CRL)
autres menaces internes.

Si une révocation plus instantanée est requise (par exemple, si un utilisateur perd un appareil), le jeton d’autorisation de l’utilisateur peut être invalidé. Pour invalider le jeton d’autorisation, définissez le champ StsRefreshTokensValidFrom pour cet utilisateur particulier à l’aide de Windows PowerShell. Vous devez mettre à jour le champ StsRefreshTokensValidFrom pour chaque utilisateur pour lequel vous souhaitez révoquer l’accès.

Pour vous assurer que la révocation persiste, vous devez définir la date d’effet de la liste de révocation de certificats sur une date après la valeur définie par StsRefreshTokensValidFrom et vérifier que le certificat en question se trouve dans la liste de révocation de certificats.

Les étapes suivantes décrivent le processus de mise à jour et d’invalidation du jeton d’autorisation en définissant le champ StsRefreshTokensValidFrom .

# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"

# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"

# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom

La date que vous définissez doit être dans le futur. Si la date n’est pas dans le futur, la propriété StsRefreshTokensValidFrom n’est pas définie. Si la date est dans le futur, la propriété StsRefreshTokensValidFrom est définie sur l’heure actuelle (et non la date indiquée par la commande Set-MsolUser).

Appliquer la validation de liste de révocation de certificats pour les autorités de certification

Lorsque vous chargez des autorités de certification dans le magasin de confiance Microsoft Entra, vous n’avez pas besoin d’inclure une liste de révocation de certificats ou l’attribut CrlDistributionPoint. Vous pouvez charger une autorité de certification sans point de terminaison de liste de révocation de certificats et l’authentification par certificat ne échoue pas si une autorité de certification émettrice ne spécifie pas de liste de révocation de certificats.

Pour renforcer la sécurité et éviter les erreurs de configuration, un administrateur de stratégie d’authentification peut exiger l’échec de l’authentification CBA si une autorité de certification qui émet un certificat d’utilisateur final ne configure pas de liste de révocation de certificats.

Activer la validation de la liste de révocation de certificats

Sélectionnez Exiger la validation de liste de révocation de certificats (recommandé) pour activer la validation de la liste de révocation de certificats.

Lorsque vous activez ce paramètre, l’administrateur de base de données échoue si le certificat de l’utilisateur final provient d’une autorité de certification qui ne configure pas de liste de révocation de certificats.
Un administrateur de stratégie d’authentification peut exempter une autorité de certification si sa liste de révocation de certificats rencontre des problèmes qui doivent être résolus. Sélectionnez Ajouter une exemption et choisissez les autorités de certification à exempter.
Les autorités de certification de la liste exemptée n’ont pas besoin de configurer une liste de révocation de certificats et les certificats de l’utilisateur final qu’ils émettent n’échouent pas à l’authentification.

Sélectionnez Autorités de certification, puis sélectionnez Ajouter. Utilisez la zone de texte De recherche pour filtrer les listes d’autorité de certification et sélectionner des autorités de certification spécifiques.

Conseils pour la configuration des listes de révocation de certificats (liste de révocation de certificats de base et delta) pour Microsoft Entra ID

Publier des listes de révocation de certificats accessibles :
- Assurez-vous que votre autorité de certification publie à la fois la liste de révocation de certificats de base et les LISTES de révocation de certificats delta (le cas échéant) sur les URL accessibles via HTTP.
- Microsoft Entra ID ne peut pas valider les certificats si les listes de révocation de certificats sont hébergées sur des serveurs internes uniquement. Les URL doivent être hautement disponibles, performantes et résilientes pour éviter les défaillances d’authentification en raison d’une indisponibilité.
- Validez l’accessibilité de la liste de révocation de certificats en testant l’URL de la liste de révocation de certificats dans un navigateur et en utilisant des -url certutil pour les vérifications de distribution.
Configurer des URL de liste de révocation de certificats dans Microsoft Entra ID :
- Chargez le certificat public de l’autorité de certification sur l’ID Microsoft Entra et configurez les points de distribution de liste de révocation de certificats (CDP).
- URL de liste de révocation de certificats de base : contient tous les certificats révoqués.
- URL de liste de révocation de certificats Delta (facultative mais recommandée) : contient des certificats révoqués depuis la dernière publication de la liste de révocation de certificats de base.
- Utilisez des outils tels que certutil pour vérifier la validité de la liste de révocation de certificats et résoudre les problèmes de certificat et de liste de révocation de certificats localement.
Définissez les périodes de validité :
- Définissez la période de validité de la liste de révocation de certificats de base suffisamment longue pour équilibrer la surcharge opérationnelle et la sécurité (généralement des jours à des semaines).
- Définissez la période de validité de la liste de révocation de certificats delta plus courte (généralement 24 heures) pour permettre la reconnaissance en temps voulu des certificats révoqués.
- La validité de la liste de révocation de certificats delta plus courte améliore la sécurité en réduisant la fenêtre dans laquelle les certificats révoqués restent valides, mais augmente la charge d’émission et de distribution.
- La validité par défaut recommandée de 24 heures pour les listes de révocation de certificats delta sur les serveurs Windows est une sécurité et des performances standard largement acceptées.
- Microsoft Entra ID est conçu pour gérer efficacement les mises à jour de liste de révocation de certificats delta fréquentes sans dégradation des performances, et les améliorations en cours permettent d’améliorer davantage cette situation.
- Microsoft Entra ID applique des mécanismes de limitation pour se protéger contre les attaques DDoS pendant les téléchargements de liste de révocation de certificats delta, ce qui peut entraîner des erreurs temporaires telles que « AADSTS2205013 » pour un petit sous-ensemble d’utilisateurs.
Garantir la haute disponibilité et les performances :
- Hébergez des listes de révocation de certificats sur des serveurs web fiables ou des réseaux de distribution de contenu (CDN) pour réduire les retards ou les échecs lors de la récupération.
- Surveillez de manière proactive la publication de la liste de révocation de certificats et l’accessibilité.
Protégez-vous contre les attaques par déni de service distribué (DDoS) :
- Pour protéger les services et utilisateurs Microsoft Entra ID, la limitation est appliquée aux opérations de récupération de liste de révocation de certificats lors d’une charge élevée ou d’un abus potentiel.
- Planifiez les cycles de publication et d’expiration de la liste de révocation de certificats pendant les heures creuses pour réduire la probabilité de limiter les utilisateurs.
Gestion des tailles de liste de révocation de certificats
- Conservez les charges utiles de liste de révocation de certificats aussi petites que possible, idéalement par l’émission et l’archivage de listes de révocation de certificats delta fréquentes des anciennes entrées, afin d’améliorer la vitesse de récupération et de réduire la bande passante.
Activer la validation de la liste de révocation de certificats
- Appliquez la validation de liste de révocation de certificats dans les stratégies d’ID Microsoft Entra pour vous assurer que les certificats révoqués sont détectés. Pour plus d’informations, consultez Activer la validation de la liste de révocation de certificats.
- Envisagez le contournement temporaire de la vérification de la liste de révocation de certificats uniquement en dernier recours pendant la résolution des problèmes, avec une compréhension des risques de sécurité.
Tester et surveiller
- Effectuez des tests réguliers pour vérifier que les listes de révocation de certificats sont téléchargeables et reconnues correctement par l’ID Microsoft Entra.
- Utilisez la surveillance pour détecter et corriger rapidement les problèmes de disponibilité ou de validation de la liste de révocation de certificats.

Référence d’erreur de liste de révocation de certificats

Code d’erreur et message	Descriptif	Causes courantes	Recommendations
AADSTS500171 : le certificat a été révoqué. Contactez votre administrateur.	Le certificat se trouve dans la liste de révocation de certificats, indiquant qu’il est révoqué.	Le certificat est révoqué par l’administrateur.	Si un certificat est inclus par erreur dans la liste de révocation de certificats, l’autorité de certification émettrice réédite la liste de révocation de certificats avec une liste mise à jour qui reflète précisément les révocations prévues.
AADSTS500172 : le certificat « {name} » émis par « {issuer} » n’est pas valide. Heure actuelle : « {curTime} ». Certificat NotBefore : « {startTime} ». Certificat NotAfter : « {endTime} ».	La liste de révocation de certificats n’est pas valide dans le temps.	Les listes de révocation de certificats ou les listes de révocation de certificats delta utilisées pour valider le certificat présentent des problèmes de minutage, tels que les listes de révocation de certificats expirées ou les heures de publication/validité incorrectement configurées.	- Vérifiez que les dates NotBefore et NotAfter du certificat englobent correctement l’heure actuelle. - Vérifiez que les listes crl de base et delta publiées par votre autorité de certification ne sont pas expirées.
AADSTS500173 : >Impossible de télécharger une liste de révocation de certificats (CRL). Code d’état {code} non valide à partir du point de distribution de la liste de révocation de certificats. Contactez votre administrateur.	La liste de révocation de certificats n’a pas pu être téléchargée en raison de problèmes de point de terminaison.	- Le point de terminaison de liste de révocation de certificats retourne des erreurs HTTP (telles que 403) - La liste de révocation de certificats a expiré sans mise à jour	- Confirmer que le point de terminaison de liste de révocation de certificats retourne des données valides - Vérifier que l’autorité de certification publie régulièrement les listes de révocation de certificats mis à jour - L’URL de la liste de révocation de certificats est inaccessible en raison de problèmes réseau, de blocs de pare-feu ou de temps d’arrêt du serveur. - Activez la liste de révocation de certificats non sécurisés pour bloquer les certificats non vérifiables.
AADSTS500174 : Impossible de construire une liste de révocation de certificats valide (CRL) à partir de la réponse.	Microsoft Entra ID ne peut pas analyser ni utiliser la liste de révocation de certificats récupérée à partir du point de distribution spécifié.	- L’URL de la liste de révocation de certificats est inaccessible en raison de problèmes réseau, de blocs de pare-feu ou de temps d’arrêt du serveur. - Le fichier de liste de révocation de certificats téléchargé est endommagé, incomplet ou mal mis en forme. - Les URL des champs CDP du certificat ne pointent pas vers des fichiers de liste de révocation de certificats valides ou sont mal configurées.	- Vérifiez l’accessibilité, la validité et l’intégrité de la liste de révocation de certificats. - Inspectez le fichier de liste de révocation de certificats pour la corruption ou le contenu incomplet.
AADSTS500175 : échec de la vérification de la révocation, car la liste de révocation de certificats (CRL) d’un certificat dans la chaîne est manquante.	Lors de la vérification de la révocation de certificats, Microsoft Entra n’a pas pu localiser un segment ou une partie requis de la liste de révocation de certificats (CRL).	- Le fichier de liste de révocation de certificats téléchargé à partir du point de distribution de liste de révocation de certificats (CDP) est endommagé ou tronqué. - Publication incorrecte ou incomplète de la liste de révocation de certificats par l’autorité de certification. - Problèmes réseau provoquant des téléchargements de listes de révocation de certificats incomplets ou ayant échoué. - Configuration incorrecte des URL ou segments de fichiers du point de distribution de liste de révocation de certificats.	- Vérifier l’intégrité de la liste de révocation de certificats - Republier ou régénérer la liste de révocation de certificats - Vérifier les paramètres réseau et proxy - Vérifier une configuration CDP correcte sur tous les autorités de certification
AADSTS500176 : l’autorité de certification qui a émis votre certificat n’a pas été configurée dans le locataire. Contactez votre administrateur.	Microsoft Entra n’a pas pu localiser le certificat d’autorité de certification émettrice dans son magasin de certificats approuvé. Cela empêche la validation réussie de la chaîne d’approbation du certificat utilisateur.	- Le certificat d’autorité de certification émettrice (racine ou intermédiaire) n’est pas chargé ou configuré dans la liste des certificats approuvés Microsoft Entra ID. - La chaîne de certificats stockée sur le client ou l’appareil ne lie pas correctement à un certificat d’autorité de certification approuvé. - Références d’identificateur de clé d’objet (SKI) et d’identificateur de clé d’autorité (AKI) incompatibles ou manquantes dans la chaîne de certificats. - Le certificat émettrice peut être expiré, révoqué ou non valide.	- L’administrateur client doit charger tous les certificats d’autorité de certification racine et intermédiaire pertinents dans le magasin de certificats approuvé Microsoft Entra via le Centre d’administration Microsoft Entra. - Vérifiez que le ski du certificat d’autorité de certification émettrice correspond à l’AKI dans le certificat de l’utilisateur pour garantir une liaison de chaîne appropriée. - Utilisez des outils tels que certutil ou OpenSSL pour vérifier que la chaîne de certificats complète est intacte, non interrompue et approuvée. - Remplacez les certificats d’autorité de certification expirés ou révoqués dans le magasin approuvé pour maintenir la validité de la chaîne.
AADSTS500177 : Liste de révocation de certificats (CRL) mal configurée. Le point de distribution de liste de révocation de certificats delta est configuré sans point de distribution de liste de révocation de certificats de base correspondant. Contactez votre administrateur.	Indique que votre configuration d’autorité de certification inclut un point de distribution Delta CRL, mais que le point de distribution de la liste de révocation de certificats de base correspondant est manquant ou non configuré correctement.	- Les points de distribution de liste de révocation de certificats configurés dans les certificats ou les paramètres d’autorité de certification ne sont pas valides, inaccessibles ou incorrects. - L’autorité de certification n’a pas publié la liste de révocation de certificats correctement ou la liste de révocation de certificats a expiré, ce qui provoque des échecs de validation. - Les appareils ou les services Microsoft Entra ID ne peuvent pas accéder aux URL de liste de révocation de certificats en raison de règles de pare-feu, de restrictions de proxy ou de problèmes de connectivité réseau. - Paramètres mal configurés dans Microsoft Entra ou dans l’autorité de certification émettrice liée à la gestion de la liste de révocation de certificats.	- Confirmez et mettez à jour les points de distribution de liste de révocation de certificats pour des URL précises et accessibles publiquement. - Vérifiez que les listes de révocation de certificats sont publiées et renouvelées régulièrement avant l’expiration. Automatisez la publication de liste de révocation de certificats si possible. - Autorisez le trafic réseau nécessaire vers les points de distribution de liste de révocation de certificats en mettant à jour les règles de pare-feu, de proxy ou d’appareil de sécurité. - Vérifiez les LISTES de révocation de certificats téléchargés pour corruption ou troncation, puis republiez si nécessaire. - Vérifiez deux fois les configurations d’ID et d’autorité de certification Microsoft Entra liées aux stratégies de publication, d’URL et de validation de liste de révocation de certificats.
AADSTS500178 : Impossible de récupérer des segments de liste de révocation de certificats valides pour {type}. Réessayez plus tard.	L’ID Microsoft Entra ne parvient pas à télécharger ou traiter tous les segments requis de la liste de révocation de certificats (CRL) pendant la validation du certificat.	- La liste de révocation de certificats est publiée dans plusieurs segments, et un ou plusieurs segments sont manquants, endommagés ou inaccessibles. - Les restrictions réseau ou les pare-feu bloquent l’accès à un ou plusieurs segments de liste de révocation de certificats. - Les segments de liste de révocation de certificats disponibles peuvent avoir expiré ou ne sont pas correctement mis à jour. - Url incorrectes ou entrées manquantes dans les points de distribution de la liste de révocation de certificats où les segments sont hébergés.	- Téléchargez manuellement tous les segments de liste de révocation de certificats à partir de leurs points de distribution et vérifiez l’exhaustivité et la validité. - Vérifiez que toutes les URL de segment de liste de révocation de certificats sont correctement configurées et accessibles. Mettez à jour les certificats ou les configurations d’autorité de certification si les URL CDP ont changé. - Vérifiez que l’autorité de certification publie et gère correctement tous les segments de liste de révocation de certificats sans altération ni parties manquantes.
AADSTS500179 : la validation de la liste de révocation de certificats a expiré. Réessayez plus tard.	Le téléchargement de la liste de révocation de certificats a expiré ou a été interrompu.	- La taille de la liste de révocation de certificats dépasse les limites - Latence du réseau ou instabilité	- Conserver la taille de la liste de révocation de certificats inférieure à 20 Mo (Azure commercial) ou 45 Mo (Azure pour le gouvernement des États-Unis) - Définir `Next Update` l’intervalle sur au moins une semaine - Surveillez les performances de téléchargement de la liste de révocation de certificats via les journaux de connexion.
AADSTS500183 : le certificat a été révoqué. Contactez votre administrateur	Une tentative d’authentification a échoué, car l’appareil client a présenté un certificat révoqué par l’autorité de certification émettrice.	Le certificat utilisé pour l’authentification se trouve dans la liste de révocation de certificats (CRL) ou marqué comme révoqué par l’autorité de certification.	- L’administrateur client doit s’assurer que le nouveau certificat est correctement approvisionné et approuvé par l’ID Microsoft Entra. - Vérifiez que les LISTES de révocation de certificats et les listes de révocation de certificats delta publiés par votre autorité de certification sont à jour et accessibles pour les appareils.
AADSTS2205011 : la liste de révocation de certificats téléchargée (CRL) n’est pas au format d’encodage ASN.1 valide. Contactez votre administrateur.	Le fichier de liste de révocation de certificats extrait par Microsoft Entra n’est pas correctement encodé conformément à la norme ASN.1 (Abstract Syntax Notation One) de règles d’encodage unique (DER), qui est requise pour l’analyse et la validation des données de liste de révocation de certificats.	- Le fichier de liste de révocation de certificats est endommagé ou tronqué pendant la publication ou la transmission. - La liste de révocation de certificats a été générée ou codée de manière incorrecte par l’autorité de certification et n’est pas conforme aux normes DER ASN.1. - Les conversions de format de fichier (telles que l’encodage base64/PEM incorrect) ont endommagé les données de la liste de révocation de certificats.	- Téléchargez manuellement la liste de révocation de certificats et examinez-la avec des outils tels que des analyseurs ASN.1 ou asN.1 spécialisés pour confirmer s’il est endommagé ou mal formé. - Régénérer et republier la liste de révocation de certificats à partir de l’autorité de certification en veillant à la conformité aux normes d’encodage DER ASN.1. - Assurez-vous que les logiciels ou outils d’autorité de certification générant des listes de révocation de certificats sont conformes à RFC 5280 et encodent correctement les listes de révocation de certificats au format ASN.1 DER.
AADSTS2205012 : la tentative de téléchargement de la liste de révocation de certificats à partir de « {uri} » pendant la connexion interactive a expiré. Nous essayons de télécharger à nouveau. Réessayez en quelques minutes.	L’ID Microsoft Entra n’a pas pu récupérer le fichier de liste de révocation de certificats dans le délai prévu à partir de l’URL spécifiée.	- Les services d’ID Microsoft Entra ne peuvent pas atteindre le point de distribution de la liste de révocation de certificats en raison de pannes réseau, de restrictions de pare-feu ou d’échecs DNS. - Le serveur hébergeant la liste de révocation de certificats est en panne, surchargé ou ne répond pas en temps voulu. - Les listes de révocation de certificats volumineux prennent plus de temps à télécharger, ce qui peut entraîner des délais d’expiration.	- Utilisez des listes de révocation de certificats delta pour réduire les tailles de fichiers de liste de révocation de certificats et les actualiser plus fréquemment pour réduire le temps de téléchargement. - Publiez ou actualisez les listes de révocation de certificats pendant les heures creuses pour réduire la charge du serveur et améliorer les temps de réponse. - Surveillez et gérez la haute disponibilité et les performances des serveurs d’hébergement de liste de révocation de certificats.
AADSTS2205013 : le téléchargement de la liste de révocation de certificats (CRL) est en cours. Réessayez en quelques minutes.	Se produit lorsque plusieurs tentatives d’authentification déclenchent simultanément des téléchargements de liste de révocation de certificats et que le système traite toujours la récupération de la liste de révocation de certificats actuelle.	- Lorsqu’une liste de révocation de certificats expire ou est sur le point d’expirer, plusieurs utilisateurs se connectant simultanément peuvent provoquer des tentatives simultanées de téléchargement de la nouvelle liste de révocation de certificats. - Microsoft Entra ID applique un mécanisme de verrouillage pour empêcher les téléchargements simultanés de la même liste de révocation de certificats afin de réduire la charge et les conditions de concurrence potentielles. Cela entraîne le refus temporaire de certaines demandes d’authentification avec ce message de nouvelle tentative. - Les grandes populations d’utilisateurs ou les rafales de connexion lourdes peuvent augmenter la fréquence de cette erreur.	- Laissez quelques minutes pour que le téléchargement continu de la liste de révocation de certificats se termine avant de réessayer la connexion. - Vérifiez que les listes de révocation de certificats sont publiées et mises à jour régulièrement avant l’expiration pour réduire les re-téléchargements forcés.
AADSTS2205014 :La tentative de téléchargement de la liste de révocation de certificats à partir de « {uri} » pendant la connexion interactive a dépassé la taille maximale autorisée ({size} octets). La liste de révocation de certificats est configurée avec la limite de téléchargement du service de la liste de révocation de certificats, réessayez en quelques minutes.	Le fichier de liste de révocation de certificats Microsoft Entra ID a essayé de télécharger est supérieur à la limite de taille définie par le service. Microsoft Entra essaiera de télécharger en arrière-plan avec des limites plus élevées.	- Le fichier de liste de révocation de certificats publié par l’autorité de certification est trop volumineux, souvent en raison d’un nombre élevé de certificats révoqués. - Les listes de révocation de certificats volumineux peuvent se produire si les certificats révoqués ne sont pas nettoyés ou si l’autorité de certification conserve de longues périodes d’expiration pour les données de révocation. - Les tailles de liste de révocation de certificats volumineuses augmentent les temps de téléchargement et la consommation des ressources pendant l’authentification basée sur les certificats.	- Supprimez les certificats obsolètes ou expirés révoqués de la base de données d’autorité de certification. - Raccourcissez les périodes de validité de la liste de révocation de certificats et augmentez la fréquence de publication pour maintenir les tailles de liste de révocation de certificats gérables. - Implémentez des LISTES de révocation delta pour distribuer uniquement les informations de révocation incrémentielles et réduire la bande passante.
AADSTS2205015 : la validation de signature de la liste de révocation de certificats (CRL) a échoué. Le SubjectKeyIdentifier attendu {expectedSKI} ne correspond pas à AuthorityKeyIdentifier {crlAK} de la liste de révocation de certificats. Contactez votre administrateur.	La signature de chiffrement sur la liste de révocation de certificats n’a pas pu être validée, car la liste de révocation de certificats a été signée par un certificat dont l’identificateur de clé d’objet (SKI) ne correspond pas à l’identificateur de clé d’autorité (AKI) attendu par l’ID Microsoft Entra.	- Le certificat d’autorité de certification utilisé pour signer la liste de révocation de certificats a changé, mais le nouveau ski n’a pas été mis à jour ou synchronisé dans la liste des certificats approuvés. - La liste de révocation de certificats est obsolète ou incompatible en raison d’une mauvaise configuration dans la hiérarchie PKI. - Certificats d’autorité de certification intermédiaire incorrects ou manquants dans la liste des certificats approuvés. - Le certificat de signature de liste de révocation de certificats peut ne pas avoir l’utilisation de la clé appropriée pour la signature de listes de révocation de certificats.	- Vérifiez l’identificateur de clé d’objet (SKI) du certificat d’autorité de certification qui signe la liste de révocation de certificats correspond à l’identificateur de clé d’autorité (AKI) dans la liste de révocation de certificats. - Vérifiez que le certificat d’autorité de certification de signature est chargé et approuvé dans l’ID Microsoft Entra. - Vérifiez que le certificat d’autorité de certification utilisé pour signer la liste de révocation de certificats dispose des indicateurs d’utilisation de clés appropriés activés (comme la signature de la liste de révocation de certificats) et vérifiez que la chaîne de certificats est intacte et non chiffrée. - Chargez ou mettez à jour les certificats d’autorité de certification racine et intermédiaire corrects dans la liste des autorités de certification approuvées de Microsoft Entra ID et vérifiez que le certificat utilisé pour signer la liste de révocation de certificats est inclus et correctement configuré.
AADSTS7000214 : le certificat a été révoqué.	Le certificat a été révoqué.	- Certificat répertorié dans la liste de révocation de certificats	- Remplacer le certificat révoqué - Examiner la raison de révocation avec l’autorité de certification - Surveiller le cycle de vie et le renouvellement des certificats

Questions fréquemment posées

Ces sections suivantes couvrent les questions et réponses courantes relatives aux listes de révocation de certificats.

Existe-t-il une limite pour la taille de la liste de révocation de certificats ?

Les limites de taille de liste de révocation de certificats suivantes s’appliquent :

Limite de téléchargement de la connexion interactive : 20 Mo (Azure Global inclut GCC), 45 Mo pour (Gouvernement Azure US, inclut GCC High, Dept. of Defense)
Limite de téléchargement du service : 65 Mo (Azure Global inclut GCC), 150 Mo pour (Azure US Government, inclut GCC High, Dept. of Defense)

En cas d’échec du téléchargement d’une liste de révocation de certificats, le message suivant s’affiche :

« La liste de révocation de certificats (CRL) téléchargée à partir de {uri} a dépassé la taille maximale autorisée ({size} octets) pour les listes de révocation de certificats dans l’ID Microsoft Entra. Réessayez dans quelques minutes. Si le problème persiste, contactez les administrateurs de votre locataire. »

Le téléchargement reste en arrière-plan avec des limites plus élevées.

Nous examinons l’impact de ces limites et prévoyons de les supprimer.

Je vois un point de terminaison de liste de révocation de certificats valide défini, mais pourquoi ne vois-je pas de révocation de certificats ?

Vérifiez que le point de distribution de la liste de révocation de certificats est défini sur une URL HTTP valide.
Vérifiez que le point de distribution de la liste de révocation de certificats est accessible via une URL accessible sur Internet.
Vérifiez que les tailles de liste de révocation de certificats sont limitées.

Comment révoquer instantanément un certificat ?

Suivez les étapes pour révoquer manuellement un certificat.

Comment puis-je activer ou désactiver la vérification de révocation de certificats pour une autorité de certification particulière ?

Nous vous recommandons de désactiver la vérification de la liste de révocation de certificats (CRL), car vous ne pourrez pas révoquer de certificats. Toutefois, si vous devez examiner les problèmes liés à la vérification de la liste de révocation de certificats, vous pouvez exempter une autorité de certification de la vérification de la liste de révocation de certificats dans le Centre d’administration Microsoft Entra. Dans la stratégie de méthodes d’authentification CBA, sélectionnez Configurer , puis ajoutez une exemption. Choisissez l’autorité de certification que vous souhaitez exempter, puis sélectionnez Ajouter.

Une fois qu’un point de terminaison de liste de révocation de certificats est configuré, les utilisateurs finaux ne peuvent pas se connecter et voient « AADSTS500173 : Impossible de télécharger la liste de révocation de certificats. Code d’état non valide Interdit à partir du point de distribution de la liste de révocation de certificats. »

Lorsqu’un problème empêche Microsoft Entra de télécharger la liste de révocation de certificats, la cause est souvent des restrictions de pare-feu. Dans la plupart des cas, vous pouvez résoudre le problème en mettant à jour les règles de pare-feu pour autoriser les adresses IP requises afin que Microsoft Entra puisse télécharger la liste de révocation de certificats. Pour plus d’informations, consultez la liste de Microsoft IPAddress.

Comment trouver la liste de révocation de certificats pour une autorité de certification ou comment résoudre l’erreur « AADSTS2205015 : La liste de révocation de certificats (CRL) a échoué » ?

Téléchargez la liste de révocation de certificats et comparez le certificat d’autorité de certification et les informations de liste de révocation de certificats pour vérifier que la crlDistributionPoint valeur est valide pour l’autorité de certification que vous souhaitez ajouter. Vous pouvez configurer la liste de révocation de certificats sur l’autorité de certification correspondante en correspondant à l’identificateur de clé d’objet de l’autorité de certification (SKI) à l’identificateur de clé d’autorité (AKI) de la liste de révocation de certificats (CA Issuer SKI == CRL AKI).

Le tableau suivant et la figure montrent comment mapper des informations du certificat d’autorité de certification aux attributs de la liste de révocation de certificats téléchargée.

Informations sur le certificat d’autorité de certification	=	Informations sur la liste de révocation de certificats téléchargées
Sujet	=	Issuer
Identificateur de clé d’objet (SKI)	=	Identificateur de la clé de l’autorité (KeyID)

Capture d’écran qui compare les champs de certificat d’autorité de certification avec les informations de liste de révocation de certificats.

Liste de révocation de certificats Microsoft Entra CBA

Étapes suivantes

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-08-29