CRL (Lista de Certificados revogados) baseada em certificado do Microsoft Entra

Uma CRL (Lista de Revogação de Certificados) é uma lista de certificados que foram revogados pela AC (Autoridade de Certificação) emissora antes da data de validade agendada. As CRLs são essenciais para manter a integridade da autenticação. Quando um certificado é revogado, ele é marcado como não confiável, mesmo que não tenha expirado. A incorporação de CRLs na autenticação baseada em certificado garante que apenas certificados válidos e não revogados sejam aceitos e a ID do Microsoft Entra bloqueia qualquer tentativa usando um certificado revogado.

As CRLs são assinadas digitalmente pela AC e publicadas em locais publicamente acessíveis, permitindo que sejam baixadas pela Internet para verificar o status de revogação dos certificados. Quando um cliente apresenta um certificado para autenticação, o sistema verifica a CRL para determinar se o certificado foi revogado.

Se o certificado for encontrado na CRL, a tentativa de autenticação será rejeitada. As CRLs geralmente são atualizadas periodicamente e as organizações devem garantir que tenham a versão mais recente da CRL para tomar decisões precisas sobre a validade do certificado.

Na CBA (autenticação baseada em certificado) do Microsoft Entra, quando as CRLs são configuradas, o sistema deve recuperar e validar a CRL durante a autenticação. Se a ID do Microsoft Entra não puder acessar o ponto de extremidade crl, a autenticação falhará porque a CRL é necessária para confirmar a validade do certificado.

Como uma CRL funciona na autenticação baseada em certificado

Uma CRL funciona fornecendo um mecanismo para verificar a validade dos certificados usados para autenticação. O processo envolve várias etapas principais:

• Emissão de certificado: Quando um certificado é emitido por uma AC, ele é válido até a data de validade, a menos que seja revogado anteriormente. Cada certificado contém uma chave pública e é assinado pela AC.

• Revogação: Se um certificado precisar ser revogado (por exemplo, se a chave privada estiver comprometida ou se o certificado não for mais necessário), a AC o adicionará à CRL.

• Distribuição de CRL: A AC publica a CRL em um local acessível por clientes, como um servidor Web ou um serviço de diretório. A CRL normalmente é assinada pela AC para garantir sua integridade. Se a CRL não for assinada pela AC, um erro de criptografia AADSTS2205015 será gerado e siga as etapas nas perguntas frequentes para solucionar o problema.

• Verificação do cliente: Quando um cliente apresenta um certificado para autenticação, o sistema recupera a CRL para cada AC na cadeia de certificados de seus locais publicados e verifica se há CAs revogadas. Se qualquer local de CRL não estiver disponível, a autenticação falhará porque o sistema não poderá verificar o status de revogação do certificado.

• Autenticação: Se o certificado for encontrado na CRL, a tentativa de autenticação será rejeitada e o cliente será negado acesso. Se o certificado não estiver na CRL, a autenticação continuará normalmente.

• Atualizações de CRL: A CRL é atualizada periodicamente pela AC e os clientes devem garantir que tenham a versão mais recente para tomar decisões precisas sobre a validade do certificado. O sistema armazena em cache a CRL por um determinado período para reduzir o tráfego de rede e melhorar o desempenho, mas também verifica se há atualizações regularmente.

Noções básicas sobre o processo de revogação de certificado na autenticação baseada em certificado do Microsoft Entra

O processo de revogação de certificado permite que os Administradores de Política de Autenticação revoguem um certificado emitido anteriormente para que ele não possa ser usado para autenticação futura.

Os Administradores de Política de Autenticação configuram o ponto de distribuição de CRL durante o processo de instalação para emissores confiáveis no locatário do Microsoft Entra. Cada emissor confiável deve ter uma CRL que você pode referenciar usando uma URL voltada para a Internet. Para obter mais informações, consulte Configurar autoridades de certificação.

A ID do Microsoft Entra dá suporte a apenas um ponto de extremidade crl e dá suporte apenas a HTTP ou HTTPS. É recomendável usar HTTP em vez de HTTPS para distribuição de CRL. As verificações de CRL ocorrem durante a autenticação baseada em certificado e qualquer atraso ou falha na recuperação da CRL pode bloquear a autenticação. O uso de HTTP minimiza a latência e evita possíveis dependências circulares causadas por HTTPS (o que por si só requer validação de certificado). Para garantir a confiabilidade, hospede CRLs em pontos de extremidade HTTP altamente disponíveis e verifique se eles estão acessíveis pela Internet.

1. Quando um usuário executa uma entrada interativa com um certificado, a ID do Microsoft Entra baixa e armazena em cache a CRL (lista de certificados revogados) do cliente de sua autoridade de certificação para verificar se os certificados são revogados durante a autenticação do usuário. O Microsoft Entra usa o atributo SubjectKeyIdentifier em vez de SubjectName para criar a cadeia de certificados. Quando as CRLs estão habilitadas, as configurações de PKI devem incluir os valores SubjectKeyIdentifier e Authority Key Identifier para garantir a verificação de revogação adequada.

   SubjectKeyIdentifier fornece um identificador exclusivo e imutável para a chave pública do certificado, tornando-o mais confiável do que SubjectName, que pode alterar ou ser duplicado entre certificados. Esse atributo garante a criação precisa da cadeia e a validação consistente de CRL em ambientes PKI complexos.

   Importante

   Se um Administrador de Política de Autenticação ignorar a configuração da CRL, a ID do Microsoft Entra não executará nenhuma verificação de CRL durante a autenticação baseada em certificado do usuário. Esse comportamento pode ser útil para a solução de problemas inicial, mas não deve ser considerado para uso em produção.

   • Somente CRL base: se apenas a CRL base estiver configurada, a ID do Microsoft Entra a baixará e armazenará em cache até o carimbo de data/hora da Próxima Atualização. A autenticação falhará se a CRL tiver expirado e não puder ser atualizada devido a problemas de conectividade ou se o ponto de extremidade crl não fornecer uma versão atualizada. O Microsoft Entra impõe estritamente o controle de versão de CRL: quando uma nova CRL é publicada, seu Número de CRL deve ser maior do que a versão anterior.

     O Número de CRL garante o controle de versão monotônica, impedindo ataques de reprodução em que uma CRL mais antiga pode ser reintroduzida para ignorar verificações de revogação. Ao exigir que cada nova CRL tenha um número de versão mais alto, a ID do Microsoft Entra garante que os dados de revogação mais recentes sejam sempre usados.

   • Base + CRL Delta: quando ambos estão configurados, ambos devem ser válidos e acessíveis. Se estiver ausente ou expirado, a validação do certificado falhará de acordo com os padrões rfc 5280.

2. A autenticação baseada em certificado do usuário falhará se uma CRL estiver configurada para o emissor confiável e a ID do Microsoft Entra não puder baixar a CRL devido a restrições de disponibilidade, tamanho ou latência. Essa limitação torna o ponto de extremidade de CRL um ponto crítico de falha, reduzindo a resiliência da autenticação baseada em certificado da ID do Microsoft Entra. Para atenuar esse risco, recomendamos o uso de soluções altamente disponíveis que garantem o tempo de atividade contínuo para pontos de extremidade de CRL.

3. Se a CRL exceder o limite interativo de uma nuvem, a entrada inicial do usuário falhará com o seguinte erro:

   The Certificate Revocation List (CRL) downloaded from {uri} has exceeded the maximum allowed size ({size} bytes) for CRLs in Microsoft Entra ID. Try again in few minutes. If the issue persists, contact your tenant administrators.

4. A ID do Microsoft Entra tenta baixar a CRL sujeita aos limites do lado do serviço (45 MB na ID pública do Microsoft Entra e 150 MB no Azure for US Government).

5. Os usuários podem repetir a autenticação após alguns minutos. Se o certificado do usuário for revogado e aparecer na CRL, a autenticação falhará.

   Importante

   A revogação de token para um certificado revogado não é imediata devido ao cache de CRL. Se uma CRL já estiver armazenada em cache, os certificados revogados recentemente não serão detectados até que o cache seja atualizado com uma CRL atualizada. As CRLs Delta normalmente incluem essas atualizações, portanto, a revogação entra em vigor quando a CRL delta é carregada. Se as CRLs delta não forem usadas, a revogação dependerá do período de validade da CRL base. Os administradores devem revogar manualmente tokens somente quando a revogação imediata for crítica, como em cenários de alta segurança. Para obter mais informações, consulte Configurar revogação.

6. Não há suporte para OCSP (Protocolo de Status de Certificado Online) devido a motivos de desempenho e confiabilidade. Em vez de baixar a CRL em todas as conexões pelo navegador do cliente para OCSP, o Microsoft Entra ID o baixa uma vez na primeira entrada e o armazena em cache. Essa ação melhora o desempenho e a confiabilidade da verificação de CRL. Também indexamos o cache para que a pesquisa seja muito mais rápida a cada vez.

7. Se o Microsoft Entra baixar com êxito a CRL, ele armazenará em cache e reutilizará a CRL para qualquer uso subsequente. Ele respeita a próxima data de atualização e, se disponível, a próxima data de publicação de CRL (usada por CAs do Windows Server) no documento crl.

8. Se o certificado do usuário estiver listado como revogado na CRL, a autenticação do usuário falhará.

   

   Importante

   Devido à natureza dos ciclos de cache e publicação de CRL, é altamente recomendável que, se houver uma revogação de certificado, você também revogue todas as sessões do usuário afetado no Microsoft Entra ID.

9. A ID do Microsoft Entra tentará pré-buscar uma nova CRL do ponto de distribuição se o documento crl armazenado em cache tiver expirado. Se a CRL tiver uma "Próxima Data de Publicação" o Microsoft Entra fará uma pré-busca de CRL mesmo que a CRL no cache não tenha expirado. A partir de agora, não há como forçar ou repetir manualmente o download da CRL.

   Observação

   A ID do Microsoft Entra verifica a CRL da AC emissora e outros CAs na cadeia de confiança PKI até a AC raiz. Temos um limite de até 10 ACs do certificado de cliente folha para validação da CRL na cadeia do PKI. A limitação é garantir que um ator inválido não derrube o serviço carregando uma cadeia de PKI com um grande número de CAs com um tamanho de CRL maior. Se a cadeia de PKI do locatário tiver mais de 10 ACs e, se houver um comprometimento de AC, os Administradores de Política de Autenticação deverão remover o emissor confiável comprometido da configuração de locatário do Microsoft Entra. Para obter mais informações, consulte a pré-busca de CRL.

Como configurar a revogação

Para revogar um certificado do cliente, o Microsoft Entra ID busca a CRL (Lista de Certificados Revogados) nas URLs carregadas como parte das informações da autoridade de certificado e a armazena em cache. O carimbo de data/hora da última publicação (propriedade Effective Date) na CRL é usado para garantir que a CRL continua sendo válida. A CRL é mencionada periodicamente para revogar o acesso a certificados que fazem parte da lista.

Revogação imediata de sessões com a Entra CBA

Há muitos cenários que podem exigir que um administrador revogue imediatamente todos os tokens de sessão para que todo o acesso a um usuário seja revogado. Esses cenários incluem

• contas comprometidas
• rescisão de funcionário
• Interrupção no sistema Entra em que são usadas credenciais armazenadas em cache, o que não inclui a validação de CRL.
• outras ameaças internas.

Se uma revogação mais imediata for necessária (por exemplo, se um usuário perder um dispositivo), o token de autorização do usuário poderá ser invalidado. Para invalidar o token de autorização, defina o campo StsRefreshTokensValidFrom para esse usuário específico usando o Windows PowerShell. Você deve atualizar o campo StsRefreshTokensValidFrom para cada usuário para o qual deseja revogar o acesso.

Para garantir que a revogação persista, defina a Data Efetiva da CRL como uma data após o valor definido por StsRefreshTokensValidFrom e verifique se o certificado em questão está no CRL.

As etapas a seguir descrevem o processo para atualizar e invalidar o token de autorização definindo o campo StsRefreshTokensValidFrom .

# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"

# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"

# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom

A data definida deve estar no futuro. Se a data não estiver no futuro, a propriedade StsRefreshTokensValidFrom não será definida. Se a data estiver no futuro, StsRefreshTokensValidFrom será definido como a hora atual (não a data indicada pelo comando Set-MsolUser).

Impor a validação de CRL para CAs

Ao carregar CAs no repositório de confiança do Microsoft Entra, você não precisa incluir uma CRL ou o atributo CrlDistributionPoint. Você pode carregar uma AC sem um ponto de extremidade crl e a autenticação baseada em certificado não falhará se uma AC emissora não especificar uma CRL.

Para fortalecer a segurança e evitar configurações incorretas, um Administrador de Política de Autenticação poderá exigir que a autenticação da CBA falhe se uma AC que emite um certificado de usuário final não configurar uma CRL.

Habilitar a validação de CRL

1. Selecione Exigir validação de CRL (recomendado) para habilitar a validação de CRL.

   

   Quando você habilita essa configuração, a CBA falhará se o certificado do usuário final for proveniente de uma AC que não configure uma CRL.

2. Um Administrador de Política de Autenticação poderá isentar uma AC se sua CRL tiver problemas que precisam ser corrigidos. Selecione Adicionar Isenção e escolha todos os CAs a serem isentos.

   

3. As ACs na lista isenta não precisam configurar uma CRL e os certificados do usuário final que eles emitem não falham na autenticação.

   Selecione CAs e selecione Adicionar. Use a caixa de texto Pesquisar para filtrar as listas de AC e selecionar CAs específicas.

   

Diretrizes para configurar CRLs (CRL base e delta) para a ID do Microsoft Entra

1. Publicar CRLs acessíveis:

   • Verifique se a AC publica as CRLs base e as CRLs delta (se aplicável) para URLs voltadas para a Internet acessíveis via HTTP.
   • A ID do Microsoft Entra não poderá validar certificados se as CRLs estiverem hospedadas em servidores somente internos. As URLs devem estar altamente disponíveis, com desempenho e resilientes para evitar falhas de autenticação devido à indisponibilidade.
   • Valide a acessibilidade de CRL testando a URL da CRL em um navegador e usando o certutil -url para verificações de distribuição.

2. Configurar URLs de CRL na ID do Microsoft Entra:

   • Carregue o certificado público da AC na ID do Microsoft Entra e configure os CDPs (pontos de distribuição de CRL).
   • URL de CRL base: contém todos os certificados revogados.
   • URL de CRL Delta (opcional, mas recomendada): contém certificados revogados desde que a última CRL base foi publicada.
   • Use ferramentas como o certutil para verificar a validade da CRL e solucionar problemas de certificado e CRL localmente.

3. Definir períodos de validade:

   • Defina o período de validade de CRL base tempo suficiente para equilibrar a sobrecarga operacional e a segurança (normalmente dias a semanas).
   • Defina o período de validade de CRL delta mais curto (geralmente 24 horas) para permitir o reconhecimento oportuno de certificados revogados.
   • A validade de CRL delta mais curta melhora a segurança reduzindo a janela em que os certificados revogados permanecem válidos, mas aumenta a carga de emissão e distribuição.
   • A validade padrão recomendada de 24 horas para CRLs delta em Servidores Windows é um desempenho e segurança padrão amplamente aceitos.
   • A ID do Microsoft Entra foi projetada para lidar com eficiência as atualizações frequentes de CRL delta sem degradação de desempenho, e melhorias contínuas ajudam a aprimorar ainda mais isso.
   • A ID do Microsoft Entra aplica mecanismos de limitação para proteger contra ataques de DDoS durante downloads de CRL delta, o que pode resultar em erros temporários como "AADSTS2205013" para um pequeno subconjunto de usuários.

4. Verifique a alta disponibilidade e o desempenho:

   • Hospedar CRLs em servidores Web confiáveis ou CDNs (redes de distribuição de conteúdo) para minimizar atrasos ou falhas durante a recuperação.
   • Monitore a publicação de CRL e a acessibilidade proativamente.

5. Proteja contra ataques DDoS (negação de serviço) e limitação:

   • Para proteger os serviços e usuários do Microsoft Entra ID, a limitação é aplicada às operações de busca de CRL durante a alta carga ou possíveis abusos.
   • Agende ciclos de publicação e expiração de CRL durante o horário de pico para minimizar a probabilidade de limitação que afeta os usuários.

6. Gerenciamento de tamanho de CRL

   • Mantenha as cargas de CRL o menor possível, idealmente pela emissão frequente de CRL delta e arquivamento de entradas antigas, para melhorar a velocidade de busca e reduzir a largura de banda.

7. Habilitar a validação de CRL

   • Imponha a validação de CRL nas políticas de ID do Microsoft Entra para garantir que os certificados revogados sejam detectados. Para obter mais informações, consulte Habilitar validação de CRL.
   • Considere o bypass temporário da verificação de CRL apenas como último recurso durante a solução de problemas, com uma compreensão dos riscos de segurança.

8. Testar e monitorar

   • Execute testes regulares para verificar se as CRLs podem ser baixadas e reconhecidas corretamente pela ID do Microsoft Entra.
   • Use o monitoramento para detectar e corrigir rapidamente quaisquer problemas de validação ou disponibilidade de CRL.

Referência de erro crl

Perguntas frequentes

Estas próximas seções abordam perguntas e respostas comuns relacionadas às Listas de Revogação de Certificados.

Há um limite para o tamanho da CRL?

Os seguintes limites de tamanho da CRL se aplicam:

• Limite interativo de download de entrada: 20 MB (o Azure Global inclui GCC), 45 MB para (governo dos EUA do Azure, inclui GCC High, Departamento de Defesa)
• Limite de download do serviço: 65 MB (o Azure Global inclui GCC), 150 MB para (governo dos EUA do Azure, inclui GCC High, Departamento de Defesa)

Quando um download de CRL falhar, a seguinte mensagem será exibida:

"A CRL (Lista de Revogação de Certificados) baixada de {uri} excedeu o tamanho máximo permitido ({size} bytes) para CRLs na ID do Microsoft Entra. Tente novamente em alguns minutos. Se o problema persistir, contate os administradores de locatários."

O download permanece em segundo plano com limites mais altos.

Estamos revisando o impacto desses limites e temos planos para removê-los.

Vejo um ponto de extremidade válido da CRL (Lista de Revogação de Certificados), mas por que não vejo nenhuma revogação de CRL?

• Verifique se o ponto de distribuição crl está definido como uma URL HTTP válida.
• Verifique se o ponto de distribuição de CRL está acessível por meio de uma URL voltada para a Internet.
• Verifique se os tamanhos de CRL estão dentro dos limites.

Como fazer para revogar instantaneamente um certificado?

Siga as etapas para revogar manualmente um certificado.

Como posso ativar ou desativar a verificação de revogação de certificado para uma determinada AC?

Recomendamos não desabilitar a verificação da CRL (lista de certificados revogados) porque você não poderá revogar certificados. No entanto, se você precisar investigar problemas com a verificação de CRL, poderá isentar uma AC da verificação de CRL no Centro de administração do Microsoft Entra. Na política de métodos de Autenticação da CBA, selecione Configurar e, em seguida, selecione Adicionar isenção. Escolha a AC que você deseja isentar e selecione Adicionar.

Depois que um ponto de extremidade de CRL é configurado, os usuários finais não podem entrar e veem "AADSTS500173: Não é possível baixar a CRL. Código de status inválido proibido do ponto de distribuição crl."

Quando um problema impede que o Microsoft Entra baixe a CRL, a causa geralmente é restrições de firewall. Na maioria dos casos, você pode resolver o problema atualizando as regras de firewall para permitir os endereços IP necessários para que o Microsoft Entra possa baixar a CRL com êxito. Para obter mais informações, consulte Lista de IPAddress da Microsoft.

Como fazer para localizar a CRL de uma AC ou como solucionar o erro "AADSTS2205015: a validação de assinatura com falha na CRL (Lista de Revogação de Certificados)"?

Baixe a CRL e compare o certificado de AC e as informações de CRL para validar se o crlDistributionPoint valor é válido para a AC que você deseja adicionar. Você pode configurar a CRL para a AC correspondente, correspondendo o SKI (identificador de chave de entidade do emissor) da AC ao identificador de chave de autoridade (AKI) da CRL (CA Issuer SKI == CRL AKI).

A tabela e a figura a seguir mostram como mapear informações do certificado de AC para os atributos da CRL baixada.

• Lista de revogação de certificados do Microsoft Entra CBA

Próximas etapas

• Visão geral do Microsoft Entra CBA
• Como configurar o Microsoft Entra CBA
• CBA do Microsoft Entra em dispositivos iOS
• CBA do Microsoft Entra em dispositivos Android
• Logon de cartão inteligente do Windows usando a CBA do Microsoft Entra
• Certificado de Identificação de Usuário
• Como migrar usuários federados
• perguntas frequentes
• Solucionar problemas da CBA do Microsoft Entra