Microsoft Entra 인증서 기반 인증 CRL(인증서 해지 목록)

CRL(인증서 해지 목록)은 예약된 만료 날짜 이전에 발급 CA(인증 기관)에 의해 해지된 인증서 목록입니다. CRL은 인증 무결성을 유지하는 데 필수적입니다. 인증서가 해지되면 만료되지 않더라도 신뢰할 수 없는 것으로 표시됩니다. 인증서 기반 인증에 CRL을 통합하면 유효하고 해지되지 않은 인증서만 허용되며 Microsoft Entra ID는 해지된 인증서를 사용하는 모든 시도를 차단합니다.

CRL은 CA에서 디지털 서명하고 공개적으로 액세스할 수 있는 위치에 게시되므로 인터넷을 통해 다운로드하여 인증서 해지 상태를 확인할 수 있습니다. 클라이언트가 인증을 위해 인증서를 제공하면 시스템에서 CRL을 확인하여 인증서가 해지되었는지 확인합니다.

CRL에 인증서가 있으면 인증 시도가 거부됩니다. CRL은 일반적으로 주기적으로 업데이트되며 조직은 인증서 유효성에 대한 정확한 결정을 내리기 위해 최신 버전의 CRL이 있는지 확인해야 합니다.

MICROSOFT Entra CBA(인증서 기반 인증)에서 CRL이 구성되면 시스템에서 인증 중에 CRL을 검색하고 유효성을 검사해야 합니다. Microsoft Entra ID가 CRL 엔드포인트에 액세스할 수 없는 경우 CRL이 인증서 유효성을 확인하는 데 필요하기 때문에 인증에 실패합니다.

인증서 기반 인증에서 CRL이 작동하는 방식

CRL은 인증에 사용되는 인증서의 유효성을 확인하는 메커니즘을 제공하여 작동합니다. 이 프로세스에는 다음과 같은 몇 가지 주요 단계가 포함됩니다.

• 인증서 발급: CA에서 인증서를 발급하는 경우 이전에 해지되지 않는 한 만료 날짜까지 유효합니다. 각 인증서는 공개 키를 포함하며 CA에서 서명합니다.

• 해지: 인증서를 해지해야 하는 경우(예: 프라이빗 키가 손상되었거나 인증서가 더 이상 필요하지 않은 경우) CA는 이를 CRL에 추가합니다.

• CRL 배포: CA는 CRL을 웹 서버 또는 디렉터리 서비스와 같은 클라이언트가 액세스할 수 있는 위치에 게시합니다. CRL은 일반적으로 무결성을 보장하기 위해 CA에 의해 서명됩니다. CRL이 CA에 의해 서명되지 않은 경우, 암호 오류 AADSTS2205015가 발생합니다. 문제를 해결하려면 FAQ의 단계에 따라 진행하십시오.

• 클라이언트 확인: 클라이언트가 인증을 위해 인증서를 제공하는 경우 시스템은 게시된 위치에서 인증서 체인의 각 CA에 대한 CRL을 검색하고 해지된 CA를 확인합니다. CRL 위치를 사용할 수 없는 경우 시스템에서 인증서의 해지 상태를 확인할 수 없으므로 인증에 실패합니다.

• 인증: CRL에서 인증서가 발견되면 인증 시도가 거부되고 클라이언트에 대한 액세스가 거부됩니다. 인증서가 CRL에 없는 경우 인증은 정상적으로 진행됩니다.

• CRL 업데이트: CRL은 CA에 의해 주기적으로 업데이트되며 클라이언트는 인증서 유효성에 대한 정확한 결정을 내릴 수 있는 최신 버전이 있는지 확인해야 합니다. 시스템은 네트워크 트래픽을 줄이고 성능을 향상시키기 위해 특정 기간 동안 CRL을 캐시하지만 정기적으로 업데이트를 확인합니다.

Microsoft Entra 인증서 기반 인증의 인증서 해지 프로세스 이해

인증서 해지 프로세스를 사용하면 인증 정책 관리자가 나중에 인증에 사용할 수 없도록 이전에 발급한 인증서를 해지할 수 있습니다.

인증 정책 관리자는 Microsoft Entra 테넌트에서 신뢰할 수 있는 발급자에 대한 설치 프로세스 중에 CRL 배포 지점을 구성합니다. 신뢰할 수 있는 각 발급자마다 인터넷 연결 URL을 사용하여 참조할 수 있는 CRL이 있어야 합니다. 자세한 내용은 인증 기관 구성을 참조하세요.

Microsoft Entra ID는 CRL 엔드포인트를 하나만 지원하고 HTTP 또는 HTTPS만 지원합니다. CRL 배포에 HTTPS 대신 HTTP를 사용하는 것이 좋습니다. CRL 검사는 인증서 기반 인증 중에 발생하며 CRL을 검색하는 데 지연 또는 실패하면 인증을 차단할 수 있습니다. HTTP를 사용하면 대기 시간이 최소화되고 HTTPS(인증서 유효성 검사 필요)로 인한 잠재적 순환 종속성을 방지할 수 있습니다. 안정성을 보장하려면 고가용성 HTTP 엔드포인트에서 CRL을 호스트하고 인터넷을 통해 액세스할 수 있는지 확인합니다.

1. 사용자가 인증서로 대화형 로그인을 수행하는 경우 Microsoft Entra ID는 인증 기관에서 고객의 CRL(인증서 해지 목록)을 다운로드하고 캐시하여 사용자의 인증 중에 인증서가 해지되는지 확인합니다. Microsoft Entra는 SubjectName 대신 SubjectKeyIdentifier 특성을 사용하여 인증서 체인을 빌드합니다. CRL을 사용하도록 설정하면 적절한 해지 검사를 위해 PKI 구성에 SubjectKeyIdentifier 및 기관 키 식별자 값이 포함되어야 합니다.

   SubjectKeyIdentifier는 인증서의 공개 키에 대해 변경할 수 없는 고유한 식별자를 제공하여 인증서 간에 변경하거나 복제할 수 있는 SubjectName보다 더 안정적입니다. 이 특성은 복잡한 PKI 환경에서 정확한 체인 빌드 및 일관된 CRL 유효성 검사를 보장합니다.

   중요합니다

   인증 정책 관리자가 CRL 구성을 건너뛰는 경우 Microsoft Entra ID는 사용자의 인증서 기반 인증 중에 CRL 검사를 수행하지 않습니다. 이 동작은 초기 문제 해결에 유용할 수 있지만 프로덕션 용도로 고려해서는 안 됩니다.

   • 기본 CRL만: 기본 CRL만 구성된 경우 Microsoft Entra ID는 다음 업데이트 타임스탬프까지 다운로드하여 캐시합니다. CRL이 만료되어 연결 문제로 인해 새로 고칠 수 없거나 CRL 엔드포인트에서 업데이트된 버전을 제공하지 않는 경우 인증이 실패합니다. Microsoft Entra는 CRL 버전 관리만 엄격하게 적용합니다. 새 CRL이 게시되면 해당 CRL 번호가 이전 버전보다 높아야 합니다.

     CRL 번호는 단조 버전 관리가 보장되어 해지 검사를 우회하기 위해 이전 CRL을 다시 도입할 수 있는 재생 공격을 방지합니다. Microsoft Entra ID는 각 새 CRL에 더 높은 버전 번호를 요구하여 가장 최근의 해지 데이터가 항상 사용되도록 보장합니다.

   • 기본 + 델타 CRL: 둘 다 구성된 경우 둘 다 유효하고 액세스할 수 있어야 합니다. 누락되거나 만료된 경우 RFC 5280 표준에 따라 인증서 유효성 검사가 실패합니다.

2. CRL이 신뢰할 수 있는 발급자용으로 구성되고 Microsoft Entra ID가 가용성, 크기 또는 대기 시간 제약 조건으로 인해 CRL을 다운로드할 수 없는 경우 사용자 인증서 기반 인증이 실패합니다. 이러한 제한으로 인해 CRL 엔드포인트는 중요한 단일 실패 지점이 되며 Microsoft Entra ID의 인증서 기반 인증 복원력이 줄어듭니다. 이러한 위험을 완화하려면 CRL 엔드포인트에 대한 지속적인 가동 시간을 보장하는 고가용성 솔루션을 사용하는 것이 좋습니다.

3. CRL이 클라우드에 대한 대화형 제한을 초과하면 다음 오류와 함께 사용자의 초기 로그인이 실패합니다.

   The Certificate Revocation List (CRL) downloaded from {uri} has exceeded the maximum allowed size ({size} bytes) for CRLs in Microsoft Entra ID. Try again in few minutes. If the issue persists, contact your tenant administrators.

4. Microsoft Entra ID는 서비스 쪽 제한에 따라 CRL을 다운로드하려고 시도합니다(공용 Microsoft Entra ID의 경우 45MB, 미국 정부용 Azure에서는 150MB).

5. 사용자는 몇 분 후에 인증을 다시 시도할 수 있습니다. 사용자의 인증서가 해지되고 CRL에 표시되면 인증에 실패합니다.

   중요합니다

   해지된 인증서에 대한 토큰 해지는 CRL 캐싱으로 인해 즉시 수행되지 않습니다. CRL이 이미 캐시된 경우 새로 해지된 인증서는 캐시가 업데이트된 CRL을 사용하여 새로 고칠 때까지 검색되지 않습니다. 델타 CRL은 일반적으로 이러한 업데이트를 포함하므로 델타 CRL이 로드되면 해지가 적용됩니다. 델타 CRL을 사용하지 않는 경우 해지는 기본 CRL의 유효 기간에 따라 달라집니다. 관리자는 높은 보안 시나리오와 같이 즉각적인 해지가 중요한 경우에만 토큰을 수동으로 해지해야 합니다. 자세한 내용은 해지 구성을 참조하세요.

6. 성능 및 안정성상의 이유로 OCSP(온라인 인증서 상태 프로토콜)는 지원되지 않습니다. OCSP용 클라이언트 브라우저에서 모든 연결에서 CRL을 다운로드하는 대신 Microsoft Entra ID는 첫 번째 로그인 시 한 번 다운로드하여 캐시합니다. 이 작업은 CRL 확인의 성능 및 안정성을 향상시킵니다. 또한 매번 검색 속도가 훨씬 빨라지도록 캐시를 인덱싱합니다.

7. Microsoft Entra가 CRL을 성공적으로 다운로드하면 이후 사용 시 CRL을 캐시하고 다시 사용합니다. 다음 업데이트 날짜와 사용 가능한 경우 CRL 문서의 다음 CRL 게시 날짜(Windows Server CA에서 사용)를 적용합니다.

8. 사용자의 인증서가 CRL에서 해지된 것으로 나열되면 사용자 인증이 실패합니다.

   

   중요합니다

   CRL 캐싱 및 게시 주기의 특성으로 인해 인증서 해지가 있는 경우 Microsoft Entra ID에서 영향을 받는 사용자의 모든 세션도 해지하는 것이 좋습니다.

9. Microsoft Entra ID는 캐시된 CRL 문서가 만료된 경우 배포 지점에서 새 CRL을 미리 가져오려고 시도합니다. CRL에 "다음 게시 날짜"가 있는 경우 Microsoft Entra는 캐시의 CRL이 만료되지 않은 경우에도 CRL 사전 인출을 수행합니다. 현재로서는 CRL의 다운로드를 수동으로 강제하거나 다시 시도 할 수있는 방법이 없습니다.

   비고

   Microsoft Entra ID는 PKI 트러스트 체인의 발급 CA 및 기타 CA의 CRL을 루트 CA까지 확인합니다. PKI 체인의 CRL 유효성 검사를 위해 리프 클라이언트 인증서의 CA를 최대 10개로 제한합니다. CRL 크기가 큰 CA 수가 많은 PKI 체인을 업로드하여 잘못된 행위자가 서비스를 중단하지 않도록 하는 것이 제한 사항입니다. 테넌트의 PKI 체인에 10개 이상의 CA가 있고 CA 손상이 있는 경우 인증 정책 관리자는 Microsoft Entra 테넌트 구성에서 손상된 신뢰할 수 있는 발급자를 제거해야 합니다. 자세한 내용은 CRL 사전 인출을 참조하세요.

해지를 구성하는 방법

클라이언트 인증서를 철회하기 위해 Microsoft Entra ID는 인증 기관 정보의 일부로 업로드된 URL에서 CRL(인증서 해지 목록)을 가져와 캐시합니다. CRL의 마지막 게시 타임스탬프(유효 날짜 속성)는 CRL이 여전히 유효한지 확인하는 데 사용됩니다. CRL은 목록의 일부인 인증서에 대한 액세스 권한을 해지하기 위해 주기적으로 참조됩니다.

Entra CBA를 사용하여 세션 즉시 해지

사용자에 대한 모든 액세스가 취소되도록 관리자가 모든 세션 토큰을 즉시 해지하도록 요구할 수 있는 많은 시나리오가 있습니다. 이러한 시나리오에는 다음이 포함됩니다.

• 손상된 계정
• 직원 해고
• CRL 유효성 검사를 포함하지 않는 캐시된 자격 증명이 사용되는 엔트라 중단
• 기타 내부자 위협.

추가 인스턴트 해지가 필요하면(예: 사용자가 디바이스를 분실한 경우) 사용자의 권한 부여 토큰이 무효화될 수 있습니다. 권한 부여 토큰을 무효화하려면 Windows PowerShell을 사용하여 이 특정 사용자의 StsRefreshTokensValidFrom 필드를 설정합니다. 액세스를 취소하려는 각 사용자에 대해 StsRefreshTokensValidFrom 필드를 업데이트해야 합니다.

해지가 유지되도록 하려면 CRL의 유효 날짜를StsRefreshTokensValidFrom 에서 설정한 값 이후의 날짜로 설정하고 해당 인증서가 CRL에 있는지 확인해야 합니다.

다음 단계에서는 StsRefreshTokensValidFrom 필드를 설정하여 권한 부여 토큰을 업데이트하고 무효화하는 프로세스를 간략하게 설명합니다.

# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"

# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"

# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom

설정하는 날짜는 이후 날짜여야 합니다. 날짜가 이후 날짜가 아니면 StsRefreshTokensValidFrom 속성이 설정되지 않습니다. 날짜가 미래인 경우 StsRefreshTokensValidFrom 은 현재 시간(Set-MsolUser 명령에 표시된 날짜가 아님)으로 설정됩니다.

CA에 대한 CRL 유효성 검사 적용

MICROSOFT Entra 트러스트 저장소에 CA를 업로드하는 경우 CRL 또는 CrlDistributionPoint 특성을 포함할 필요가 없습니다. CRL 엔드포인트 없이 CA를 업로드할 수 있으며 발급 CA에서 CRL을 지정하지 않으면 인증서 기반 인증이 실패하지 않습니다.

보안을 강화하고 잘못된 구성을 방지하기 위해 인증 정책 관리자는 최종 사용자 인증서를 발급하는 CA가 CRL을 구성하지 않는 경우 CBA 인증이 실패하도록 요구할 수 있습니다.

CRL 유효성 검사 사용

1. CRL 유효성 검사를 사용하도록 설정하려면 CRL 유효성 검사 필요(권장)를 선택합니다.

   

   이 설정을 사용하면 최종 사용자 인증서가 CRL을 구성하지 않는 CA에서 가져온 경우 CBA가 실패합니다.

2. 인증 정책 관리자는 CRL에 수정해야 하는 문제가 있는 경우 CA를 제외할 수 있습니다. 예외 추가를 선택하고 제외할 CA를 선택합니다.

   

3. 제외된 목록의 CA는 CRL을 구성할 필요가 없으며, 발급하는 최종 사용자 인증서는 인증에 실패하지 않습니다.

   CA를 선택하고 추가를 선택합니다. 검색 텍스트 상자를 사용하여 CA 목록을 필터링하고 특정 CA를 선택합니다.

   

Microsoft Entra ID에 대한 CRL(기본 및 델타 CRL) 설정 지침

1. 액세스 가능한 CRL 게시:

   • CA가 기본 CRL 및 델타 CRL(해당하는 경우)을 HTTP를 통해 액세스할 수 있는 인터넷 연결 URL에 게시하는지 확인합니다.
   • CRL이 내부 전용 서버에서 호스트되는 경우 Microsoft Entra ID는 인증서의 유효성을 검사할 수 없습니다. URL은 사용 불가로 인한 인증 실패를 방지하기 위해 고가용성, 성능 및 복원력이 있어야 합니다.
   • 브라우저에서 CRL URL을 테스트하고 배포 검사에 certutil -url 사용하여 CRL 접근성의 유효성을 검사합니다.

2. Microsoft Entra ID에서 CRL URL 구성:

   • CA 공용 인증서를 Microsoft Entra ID에 업로드하고 CRL 배포 지점(CDP)을 구성합니다.
   • 기본 CRL URL: 해지된 모든 인증서를 포함합니다.
   • 델타 CRL URL(선택 사항이지만 권장): 마지막 기본 CRL이 게시된 이후 해지된 인증서를 포함합니다.
   • certutil과 같은 도구를 사용하여 CRL 유효성을 확인하고 인증서 및 CRL 문제를 로컬로 해결합니다.

3. 유효 기간 설정:

   • 운영 오버헤드와 보안의 균형을 맞추기에 충분한 기본 CRL 유효 기간을 설정합니다(일반적으로 며칠에서 몇 주).
   • 해지된 인증서를 적시에 인식할 수 있도록 델타 CRL 유효 기간을 더 짧게(일반적으로 24시간) 설정합니다.
   • 델타 CRL 유효성이 짧을수록 해지된 인증서가 유효하게 유지되지만 발급 및 배포 부하가 증가하는 창을 줄여 보안을 향상시킵니다.
   • Windows Server의 델타 CRL에 권장되는 24시간 기본 유효성은 널리 허용되는 표준 보안 및 성능입니다.
   • Microsoft Entra ID는 성능 저하 없이 잦은 델타 CRL 업데이트를 효율적으로 처리하도록 설계되었으며, 지속적인 개선은 이를 더욱 개선하는 데 도움이 됩니다.
   • Microsoft Entra ID는 델타 CRL 다운로드 중에 DDoS 공격으로부터 보호하기 위한 제한 메커니즘을 적용하며, 이로 인해 소수의 사용자에 대해 "AADSTS2205013"와 같은 일시적인 오류가 발생할 수 있습니다.

4. 고가용성 및 성능을 보장합니다.

   • 검색하는 동안 지연 또는 오류를 최소화하기 위해 신뢰할 수 있는 웹 서버 또는 CDN(콘텐츠 배달 네트워크)에서 CRL을 호스트합니다.
   • CRL 게시 및 접근성을 사전에 모니터링합니다.

5. 제한 및 DDoS(분산 서비스 거부) 공격으로부터 보호합니다.

   • Microsoft Entra ID 서비스 및 사용자를 보호하기 위해 높은 부하 또는 잠재적인 남용 중에 CRL 인출 작업에 제한이 적용됩니다.
   • 사용량이 많은 시간 동안 CRL 게시 및 만료 주기를 예약하여 제한으로 인해 사용자에게 영향을 미칠 가능성을 최소화합니다.

6. CRL 크기 관리

   • CRL 페이로드를 가능한 한 작게 유지합니다. 이상적으로는 자주 델타 CRL 발급 및 이전 항목의 보관을 통해 인출 속도를 개선하고 대역폭을 줄입니다.

7. CRL 유효성 검사 사용

   • Microsoft Entra ID 정책에서 CRL 유효성 검사를 적용하여 해지된 인증서가 검색되는지 확인합니다. 자세한 내용은 CRL 유효성 검사 사용을 참조하세요.
   • 보안 위험을 이해하고 문제 해결 중에 CRL 검사를 최후의 수단으로만 일시적으로 우회하는 것이 좋습니다.

8. 테스트 및 모니터링

   • 일반 테스트를 수행하여 CRL이 Microsoft Entra ID에서 다운로드 가능하고 올바르게 인식되는지 확인합니다.
   • 모니터링을 사용하여 CRL 가용성 또는 유효성 검사 문제를 감지하고 신속하게 수정합니다.

CRL 오류 참조

자주 묻는 질문

다음 섹션에서는 인증서 해지 목록과 관련된 일반적인 질문과 답변을 다룹니다.

CRL 크기에 대한 제한이 있나요?

다음 CRL 크기 제한이 적용됩니다.

• 대화형 로그인 다운로드 제한: 20MB(Azure Global 포함 GCC), 45MB(Azure 미국 정부, GCC High 포함, 국방부)
• 서비스 다운로드 제한: 65MB(Azure Global 포함 GCC), 150MB(Azure 미국 정부, GCC High 포함, 국방부)

CRL 다운로드가 실패하면 다음 메시지가 나타납니다.

"{uri}에서 다운로드한 CRL(인증서 해지 목록)이 Microsoft Entra ID의 CRL에 허용되는 최대 크기({size}바이트)를 초과했습니다. 잠시 후 다시 시도하세요. 그래도 문제가 계속되면 테넌트 관리자에게 문의하세요."

다운로드는 더 높은 제한으로 백그라운드에서 유지됩니다.

이러한 제한의 영향을 검토하고 이를 제거할 계획이 있습니다.

유효한 CRL(인증서 해지 목록) 엔드포인트 집합이 표시되지만 CRL 해지가 표시되지 않는 이유는 무엇인가요?

• CRL 배포 지점이 유효한 HTTP URL로 설정되어 있는지 확인합니다.
• 인터넷 연결 URL을 통해 CRL 배포 지점에 액세스할 수 있는지 확인합니다.
• CRL 크기가 제한 내에 있는지 확인합니다.

인증서를 즉시 해지하려면 어떻게 해야 하나요?

단계에 따라 인증서를 수동으로 해지합니다.

특정 CA에 대해 인증서 해지 확인을 설정하거나 해제하려면 어떻게 해야 하나요?

인증서를 해지할 수 없으므로 CRL(인증서 해지 목록) 검사를 사용하지 않도록 설정하는 것이 좋습니다. 그러나 CRL 검사와 관련된 문제를 조사해야 하는 경우 Microsoft Entra 관리 센터에서 CRL 검사에서 CA를 제외할 수 있습니다. CBA 인증 방법 정책에서 구성 을 선택한 다음 예외 추가를 선택합니다. 제외할 CA를 선택하고 추가를 선택합니다.

CRL 엔드포인트가 구성된 후에는 최종 사용자가 로그인할 수 없으며 "AADSTS500173: CRL을 다운로드할 수 없습니다. CRL 배포 지점에서 사용할 수 없는 상태 코드입니다."

문제가 Microsoft Entra에서 CRL을 다운로드하지 못하게 하는 경우 원인은 종종 방화벽 제한입니다. 대부분의 경우 Microsoft Entra가 CRL을 성공적으로 다운로드할 수 있도록 필요한 IP 주소를 허용하도록 방화벽 규칙을 업데이트하여 문제를 해결할 수 있습니다. 자세한 내용은 Microsoft IPAddress 목록을 참조하세요.

CA에 대한 CRL을 찾으려면 어떻게 하나요? 또는 "AADSTS2205015: CRL(인증서 해지 목록) 서명 유효성 검사 실패" 오류를 해결하려면 어떻게 해야 하나요?

CRL을 다운로드하고 CA 인증서와 CRL 정보를 비교하여 추가하려는 CA에 대해 값이 crlDistributionPoint 유효한지 확인합니다. CA의 SKI(발급자 주체 키 식별자)를 CRL(CA 발급자 SKI == CRL AKI)의 AKI(기관 키 식별자)와 일치시켜 해당 CA에 CRL을 구성할 수 있습니다.

다음 표와 그림에서는 CA 인증서의 정보를 다운로드한 CRL의 특성에 매핑하는 방법을 보여줍니다.

• Microsoft Entra CBA 인증서 해지 목록

다음 단계

• Microsoft Entra CBA 개요
• Microsoft Entra CBA를 구성하는 방법
• iOS 디바이스의 Microsoft Entra CBA
• Microsoft Entra CBA Android 디바이스에서
• Microsoft Entra CBA를 사용하여 Windows 스마트 카드 로그온
• 인증서 사용자 ID
• 페더레이션된 사용자를 마이그레이션하는 방법
• 자주 묻는 질문(FAQ)
• Microsoft Entra CBA 문제 해결