Lista de Revogação de Certificados (CRL) de autenticação baseada em certificado do Microsoft Entra

Uma Lista de Revogação de Certificados (CRL) é uma lista de certificados que foram revogados pela Autoridade de Certificação (CA) emissora antes da data de expiração agendada. As CRLs são essenciais para manter a integridade da autenticação. Quando um certificado é revogado, ele é marcado como não confiável, mesmo que não tenha expirado. A incorporação de CRLs na autenticação baseada em certificado garante que apenas certificados válidos e não revogados sejam aceitos, e o Microsoft Entra ID bloqueia qualquer tentativa usando um certificado revogado.

As CRLs são assinadas digitalmente pela autoridade de certificação e publicadas em locais acessíveis ao público, permitindo que sejam baixadas pela internet para verificar o status de revogação dos certificados. Quando um cliente apresenta um certificado para autenticação, o sistema verifica a CRL para determinar se o certificado foi revogado.

Se o certificado for encontrado na CRL, a tentativa de autenticação será rejeitada. As CRLs geralmente são atualizadas periodicamente, e as organizações devem garantir que tenham a versão mais recente da CRL para tomar decisões precisas sobre a validade do certificado.

Na autenticação baseada em certificado (CBA) do Microsoft Entra, quando as CRLs são configuradas, o sistema deve recuperar e validar a CRL durante a autenticação. Se o Microsoft Entra ID não puder acessar o ponto de extremidade da CRL, a autenticação falhará porque a CRL é necessária para confirmar a validade do certificado.

Como funciona uma CRL na autenticação baseada em certificado

Uma CRL funciona fornecendo um mecanismo para verificar a validade dos certificados usados para autenticação. O processo envolve várias etapas fundamentais:

Emissão de Certificados: Quando um certificado é emitido por uma autoridade de certificação, ele é válido até sua data de expiração, a menos que seja revogado antes. Cada certificado contém uma chave pública e é assinado pela autoridade de certificação.
Revogação: Se um certificado precisar ser revogado (por exemplo, se a chave privada estiver comprometida ou se o certificado não for mais necessário), a autoridade de certificação o adicionará à CRL.
Distribuição CRL: A autoridade de certificação publica a CRL em um local acessível pelos clientes, como um servidor Web ou um serviço de diretório. A CRL é normalmente assinada pela autoridade de certificação para garantir sua integridade. Se a CRL não estiver assinada pela autoridade de certificação, um AADSTS2205015 de erro de criptografia será lançado e siga as etapas em Perguntas frequentes para solucionar o problema.
Verificação do cliente: Quando um cliente apresenta um certificado para autenticação, o sistema recupera a CRL de cada autoridade de certificação na cadeia de certificados de seus locais publicados e verifica se há CAs revogadas. Se qualquer local de CRL não estiver disponível, a autenticação falhará porque o sistema não pode verificar o status de revogação do certificado.
Autenticação: Se o certificado for encontrado na CRL, a tentativa de autenticação será rejeitada e o acesso ao cliente será negado. Se o certificado não estiver na CRL, a autenticação prosseguirá normalmente.
Atualizações da CRL: A CRL é atualizada periodicamente pela autoridade de certificação e os clientes devem garantir que tenham a versão mais recente para tomar decisões precisas sobre a validade do certificado. O sistema armazena em cache a CRL por um determinado período para reduzir o tráfego de rede e melhorar o desempenho, mas também verifica se há atualizações regularmente.

Noções básicas sobre o processo de revogação de certificados na autenticação baseada em certificado do Microsoft Entra

O processo de revogação de certificado permite que os Administradores de Política de Autenticação revoguem um certificado emitido anteriormente para que ele não possa ser usado para autenticação futura.

Os administradores de políticas de autenticação configuram o ponto de distribuição de CRL durante o processo de configuração para emissores confiáveis no locatário do Microsoft Entra. Cada emissor confiável deve ter uma CRL que você possa referenciar usando uma URL voltada para a Internet. Para obter mais informações, consulte Configurar autoridades de certificação.

O Microsoft Entra ID suporta apenas um ponto de extremidade CRL e suporta apenas HTTP ou HTTPS. Recomendamos o uso de HTTP em vez de HTTPS para distribuição de CRL. As verificações de CRL ocorrem durante a autenticação baseada em certificado, e qualquer atraso ou falha na recuperação da CRL pode bloquear a autenticação. O uso de HTTP minimiza a latência e evita possíveis dependências circulares causadas pelo HTTPS (que por si só requer validação de certificado). Para garantir a confiabilidade, hospede CRLs em pontos de extremidade HTTP altamente disponíveis e verifique se elas estão acessíveis pela Internet.

Importante

O tamanho máximo de uma CRL para Microsoft Entra ID para download bem-sucedido em uma entrada interativa é de 20 MB na ID pública do Microsoft Entra e 45 MB nas nuvens do Azure US Government. O tempo necessário para fazer o download da CRL não deve exceder 10 segundos. Se o Microsoft Entra ID não puder baixar uma CRL, as autenticações baseadas em certificado usando certificados emitidos pela autoridade de certificação correspondente falharão. Como prática recomendada para manter os arquivos CRL dentro dos limites de tamanho, mantenha os tempos de vida dos certificados dentro de limites razoáveis e limpe os certificados expirados.

Quando um usuário executa uma entrada interativa com um certificado, o Microsoft Entra ID baixa e armazena em cache a lista de revogação de certificados (CRL) do cliente de sua autoridade de certificação para verificar se os certificados são revogados durante a autenticação do usuário. O Microsoft Entra usa o atributo SubjectKeyIdentifier em vez de SubjectName para criar a cadeia de certificados. Quando as CRLs estão habilitadas, as configurações de PKI devem incluir os valores SubjectKeyIdentifier e Authority Key Identifier para garantir a verificação de revogação adequada.

SubjectKeyIdentifier fornece um identificador exclusivo e imutável para a chave pública do certificado, tornando-o mais confiável do que SubjectName, que pode ser alterado ou duplicado entre certificados. Esse atributo garante a construção precisa da cadeia e a validação consistente da CRL em ambientes PKI complexos.

Importante

Se um Administrador de Política de Autenticação ignorar a configuração da CRL, o Microsoft Entra ID não executará nenhuma verificação de CRL durante a autenticação baseada em certificado do usuário. Esse comportamento pode ser útil para a solução de problemas inicial, mas não deve ser considerado para uso em produção.
- Somente CRL base: Se apenas a CRL base estiver configurada, a ID do Microsoft Entra a baixará e armazenará em cache até o carimbo de data/hora da próxima atualização. A autenticação falhará se a CRL tiver expirado e não puder ser atualizada devido a problemas de conectividade ou se o ponto de extremidade da CRL não fornecer uma versão atualizada. O Microsoft Entra impõe estritamente o controle de versão da CRL: quando uma nova CRL é publicada, seu número de CRL deve ser maior do que a versão anterior.
  
  O número de CRL garante um versionamento monotônico, evitando ataques de repetição em que uma CRL mais antiga poderia ser reintroduzida para ignorar as verificações de revogação. Ao exigir que cada nova CRL tenha um número de versão superior, o Microsoft Entra ID garante que os dados de revogação mais recentes sejam sempre utilizados.
- Base + CRL Delta: Quando ambos estão configurados, ambos devem ser válidos e acessíveis. Se um deles estiver ausente ou expirado, a validação do certificado falhará de acordo com os padrões RFC 5280.
A autenticação baseada em certificado de usuário falhará se uma CRL estiver configurada para o emissor confiável e a ID do Microsoft Entra não puder baixar a CRL, devido a restrições de disponibilidade, tamanho ou latência. Essa limitação torna o ponto de extremidade da CRL um ponto único crítico de falha, reduzindo a resiliência da autenticação baseada em certificado do Microsoft Entra ID. Para reduzir esse risco, recomendamos o uso de soluções altamente disponíveis que garantam um tempo de atividade contínuo para os endpoints de CRL.
Se a CRL exceder o limite interativo para uma nuvem, a entrada inicial do usuário falhará com o seguinte erro:

The Certificate Revocation List (CRL) downloaded from {uri} has exceeded the maximum allowed size ({size} bytes) for CRLs in Microsoft Entra ID. Try again in few minutes. If the issue persists, contact your tenant administrators.
O Microsoft Entra ID tenta baixar a CRL sujeita aos limites do lado do serviço (45 MB no Microsoft Entra ID público e 150 MB no Azure para o governo dos EUA).
Os usuários podem repetir a autenticação após alguns minutos. Se o certificado do usuário for revogado e aparecer na CRL, a autenticação falhará.

Importante

A revogação de token para um certificado revogado não é imediata devido ao cache de CRL. Se uma CRL já estiver armazenada em cache, os certificados recém-revogados não serão detetados até que o cache seja atualizado com uma CRL atualizada. As CRLs delta normalmente incluem essas atualizações, portanto, a revogação entra em vigor assim que a CRL delta é carregada. Se as CRLs delta não forem usadas, a revogação dependerá do período de validade da CRL base. Os administradores devem revogar manualmente os tokens somente quando a revogação imediata for crítica, como em cenários de alta segurança. Para obter mais informações, consulte Configurar revogação.
Não suportamos o Protocolo de Estado de Certificado Online (OCSP) devido a razões de desempenho e fiabilidade. Em vez de baixar a CRL em cada conexão pelo navegador cliente para OCSP, o Microsoft Entra ID a baixa uma vez na primeira entrada e a armazena em cache. Essa ação melhora o desempenho e a confiabilidade da verificação de CRL. Também indexamos o cache para que a pesquisa seja sempre muito mais rápida.
Se o Microsoft Entra baixar com êxito a CRL, ele armazenará em cache e reutilizará a CRL para qualquer uso subsequente. Ele honra a próxima data de atualização e, se disponível, a próxima data de publicação da CRL (usada pelas autoridades de certificação do Windows Server) no documento da CRL.
Se o certificado do usuário estiver listado como revogado na CRL, a autenticação do usuário falhará.

Importante

Devido à natureza do cache de CRL e dos ciclos de publicação, é altamente recomendável que, se houver uma revogação de certificado, você também revogue todas as sessões do usuário afetado no Microsoft Entra ID.
O Microsoft Entra ID tenta pré-buscar uma nova CRL do ponto de distribuição se o documento de CRL armazenado em cache tiver expirado. Se a CRL tiver uma "próxima data de publicação", o Microsoft Entra fará uma pré-busca de CRL, mesmo que a CRL no cache não tenha expirado. A partir de agora, não há como forçar ou reativar manualmente o download da CRL.

Observação

O Microsoft Entra ID verifica a CRL da autoridade de certificação emissora e outras autoridades de certificação na cadeia de confiança PKI até a autoridade de certificação raiz. Temos um limite de até 10 CAs do certificado de cliente folha para validação de CRL na cadeia PKI. A limitação é garantir que um agente mal-intencionado não derrube o serviço carregando uma cadeia PKI com um grande número de CAs com um tamanho de CRL maior. Se a cadeia PKI do locatário tiver mais de 10 CAs e se houver um comprometimento da CA, os Administradores de Política de Autenticação deverão remover o emissor confiável comprometido da configuração do locatário do Microsoft Entra. Para obter mais informações, consulte Pré-busca de CRL.

Como configurar a revogação

Para revogar um certificado de cliente, o Microsoft Entra ID busca a lista de revogação de certificados (CRL) das URLs carregadas como parte das informações da autoridade de certificação e a armazena em cache. O último timestamp de publicação (propriedade Data Efetiva) na CRL é utilizado para garantir que a CRL ainda seja válida. A Lista de Revogação de Certificados (CRL) é consultada regularmente para revogar os certificados que fazem parte da lista.

Revogação imediata das sessões com o Entra CBA

Há muitos cenários que podem exigir que um administrador revogue imediatamente todos os tokens de sessão para que todo o acesso de um usuário seja revogado. Tais cenários incluem:

contas comprometidas
rescisão de empregado
Entra falha de serviço onde são utilizadas as credenciais armazenadas em cache sem incluir a validação da CRL
outras ameaças internas.

Se for necessária uma revogação mais instantânea (por exemplo, se um usuário perder um dispositivo), o token de autorização do usuário pode ser invalidado. Para invalidar o token de autorização, defina o campo StsRefreshTokensValidFrom para esse usuário específico usando o Windows PowerShell. Você deve atualizar o campo StsRefreshTokensValidFrom para cada usuário para o qual deseja revogar o acesso.

Para garantir que a revogação persista, você deve definir a Data efetiva da CRL para uma data após o valor definido por StsRefreshTokensValidFrom e garantir que o certificado em questão esteja na CRL.

As etapas a seguir descrevem o processo para atualizar e invalidar o token de autorização definindo o campo StsRefreshTokensValidFrom .

# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"

# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"

# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom

A data que você definiu deve ser no futuro. Se a data não estiver no futuro, a propriedade StsRefreshTokensValidFrom não será definida. Se a data estiver no futuro, StsRefreshTokensValidFrom será definido para a hora atual (não a data indicada pelo comando Set-MsolUser).

Impor a validação de CRL para CAs

Quando você carrega CAs para o armazenamento confiável do Microsoft Entra, não precisa incluir uma CRL ou o atributo CrlDistributionPoint. Você pode carregar uma autoridade de certificação sem um ponto de extremidade de CRL, e a autenticação baseada em certificado não falhará se uma autoridade de certificação emissora não especificar uma CRL.

Para fortalecer a segurança e evitar configurações incorretas, um Administrador de Política de Autenticação pode exigir que a autenticação CBA falhe se uma autoridade de certificação que emite um certificado de usuário final não configurar uma CRL.

Ativar validação de CRL

Selecione Exigir validação de CRL (recomendado) para habilitar a validação de CRL.

Quando você habilita essa configuração, o CBA falha se o certificado de usuário final vier de uma autoridade de certificação que não configura uma CRL.
Um administrador de política de autenticação pode isentar uma autoridade de certificação se sua CRL tiver problemas que precisam ser corrigidos. Selecione Adicionar isenção e escolha qualquer autoridade de certificação a ser isenta.
As autoridades de certificação na lista de isentos não precisam configurar uma CRL e os certificados de usuário final que emitem não falham na autenticação.

Selecione CAs e selecione Adicionar. Use a caixa de texto Pesquisar para filtrar as listas de autoridades de certificação e selecionar autoridades de certificação específicas.

Orientação para configurar CRLs (CRL base e delta) para o Microsoft Entra ID

Publique CRLs acessíveis:
- Certifique-se de que sua autoridade de certificação publique a CRL base e as CRLs delta (se aplicável) em URLs voltadas para a Internet acessíveis via HTTP.
- O Microsoft Entra ID não pode validar certificados se as CRLs estiverem hospedadas em servidores somente internos. As URLs devem ser altamente disponíveis, de alto desempenho e resilientes para evitar falhas de autenticação devido à indisponibilidade.
- Valide a acessibilidade da CRL testando a URL da CRL em um navegador e usando certutil -url para verificações de distribuição.
Configure URLs de CRL no Microsoft Entra ID:
- Carregue o certificado público da autoridade de certificação para o Microsoft Entra ID e configure os CDPs (pontos de distribuição de CRL).
- URL da CRL base: contém todos os certificados revogados.
- URL da CRL Delta (opcional, mas recomendada): contém certificados revogados desde que a última CRL base foi publicada.
- Use ferramentas como certutil para verificar a validade da CRL e solucionar problemas de certificado e CRL localmente.
Definir períodos de validade:
- Defina o período de validade da CRL base longo o suficiente para equilibrar a sobrecarga operacional e a segurança (normalmente dias a semanas).
- Defina o período de validade da CRL delta mais curto (geralmente 24 horas) para permitir o reconhecimento oportuno de certificados revogados.
- A validade mais curta da CRL delta melhora a segurança, reduzindo a janela em que os certificados revogados permanecem válidos, mas aumenta a carga de emissão e distribuição.
- A validade padrão recomendada de 24 horas para CRLs delta em servidores Windows é uma segurança e desempenho padrão amplamente aceitos.
- O Microsoft Entra ID foi projetado para lidar com eficiência com atualizações frequentes de CRL delta sem degradação de desempenho, e melhorias contínuas ajudam a aprimorar ainda mais isso.
- O Microsoft Entra ID aplica mecanismos de limitação para proteger contra ataques DDoS durante downloads de CRL delta, o que pode resultar em erros temporários como "AADSTS2205013" para um pequeno subconjunto de usuários.
Garanta alta disponibilidade e desempenho:
- Hospede CRLs em servidores Web confiáveis ou redes de entrega de conteúdo (CDNs) para minimizar atrasos ou falhas durante a recuperação.
- Monitore a publicação de CRL e a acessibilidade de forma proativa.
Proteja-se contra limitação e ataques distribuídos de negação de serviço (DDoS):
- Para proteger os serviços e usuários do Microsoft Entra ID, a limitação é aplicada às operações de busca de CRL durante alta carga ou abuso potencial.
- Agende a publicação de CRL e os ciclos de expiração fora do horário de pico para minimizar a probabilidade de limitação afetar os usuários.
Gerenciamento de tamanho de CRL
- Mantenha as cargas úteis de CRL tão pequenas quanto possível, idealmente através da emissão frequente de CRL delta e arquivamento de entradas antigas, para melhorar a velocidade de busca e reduzir a largura de banda.
Ativar validação de CRL
- Aplique a validação de CRL nas políticas de ID do Microsoft Entra para garantir que os certificados revogados sejam detetados. Para obter mais informações, consulte Habilitar validação de CRL.
- Considere o bypass temporário da verificação de CRL apenas como último recurso durante a solução de problemas, com uma compreensão dos riscos de segurança.
Teste e monitore
- Execute testes regulares para verificar se as CRLs podem ser baixadas e reconhecidas corretamente pelo Microsoft Entra ID.
- Use o monitoramento para detetar e corrigir rapidamente quaisquer problemas de disponibilidade ou validação de CRL.

Referência de erro de CRL

Código de erro e mensagem	Description	Causas comuns	Recommendations
AADSTS500171: O certificado foi revogado. Entre em contato com o administrador.	O certificado está na CRL, indicando que está revogado.	O certificado é revogado pelo administrador.	Se um certificado for incluído por engano na CRL, peça à autoridade de certificação emissora que reemita a CRL com uma lista atualizada que reflita com precisão as revogações pretendidas.
AADSTS500172: O certificado '{nome}' emitido por '{emissor}' não é válido. Hora atual: '{curTime}'. Certificado NotBefore: '{startTime}'. Certificado NotAfter: '{endTime}'.	A CRL não é válida no tempo.	As CRLs ou CRLs delta usadas para validar o certificado têm problemas de tempo, como CRLs expiradas ou tempos de publicação/validade configurados incorretamente.	- Confirme se as datas NotBefore e NotAfter do certificado abrangem corretamente a hora atual. - Verifique se as CRLs base e delta publicadas pela sua autoridade de certificação não expiraram.
AADSTS500173: >Não é possível baixar uma lista de revogação de certificados (CRL). Código de status inválido {code} do ponto de distribuição da CRL. Entre em contato com o administrador.	Não foi possível transferir a CRL devido a problemas de ponto final.	- O ponto de extremidade CRL retorna erros HTTP (como 403) - CRL expirou sem atualização	- Confirmar que o ponto de extremidade CRL retorna dados válidos - Garantir que a autoridade de certificação publique regularmente CRLs atualizadas - O URL CRL está inacessível devido a problemas de rede, bloqueios de firewall ou tempo de inatividade do servidor. - Habilitar CRL à prova de falhas para bloquear certificados não verificáveis.
AADSTS500174: Não é possível construir uma lista de certificados revogados (CRL) válida a partir da resposta.	O Microsoft Entra ID não pode analisar ou usar a CRL recuperada do ponto de distribuição especificado.	- O URL CRL está inacessível devido a problemas de rede, bloqueios de firewall ou tempo de inatividade do servidor. - O arquivo CRL baixado está corrompido, incompleto ou formatado incorretamente. - Os URLs nos campos CDP do certificado não apontam para arquivos CRL válidos ou estão configurados incorretamente.	- Verificar a acessibilidade, validade e integridade da CRL. - Inspecione o arquivo CRL em busca de corrupção ou conteúdo incompleto.
AADSTS500175: A verificação de revogação falhou porque a lista de revogação de certificados (CRL) de um certificado na cadeia está ausente.	Durante a verificação de revogação de certificados, o Microsoft Entra não conseguiu localizar um segmento ou parte necessária da Lista de Revogação de Certificados (CRL).	- O arquivo CRL baixado do CDP (Ponto de Distribuição da CRL) está corrompido ou truncado. - Publicação incorreta ou incompleta do LCR pela AC. - Problemas de rede que causam downloads de CRL incompletos ou com falha. - Configuração incorreta dos URLs ou segmentos de arquivos do ponto de distribuição da CRL.	- Verificar a integridade da CRL - Republicar ou regenerar CRL - Verifique as configurações de rede e proxy - Garantir a configuração correta do CDP em todas as CAs
AADSTS500176: A autoridade de certificação que emitiu seu certificado não foi configurada no locatário. Entre em contato com o administrador.	O Microsoft Entra não conseguiu localizar o certificado da autoridade de certificação emissora em seu armazenamento de certificados confiáveis. Isso impede a validação bem-sucedida da cadeia de confiança do certificado do usuário.	- O certificado de autoridade de certificação emissora (raiz ou intermediário) não é carregado ou configurado na lista de certificados confiáveis do Microsoft Entra ID. - A cadeia de certificados armazenada no cliente ou dispositivo não se vincula corretamente a um certificado de CA confiável. - Referências de Identificador de Chave de Assunto (SKI) e Identificador de Chave de Autoridade (AKI) incompatíveis ou ausentes na cadeia de certificados. - O certificado de emissão pode estar expirado, revogado ou inválido.	- O administrador de locatários deve carregar todos os certificados de CA raiz e intermediários relevantes para o armazenamento de certificados confiáveis do Microsoft Entra através do centro de administração do Microsoft Entra. - Confirme se o SKI do certificado CA emissor corresponde ao AKI no certificado do usuário para garantir a ligação adequada da cadeia. - Use ferramentas como certutil ou OpenSSL para verificar se toda a cadeia de certificados está intacta, intacta e confiável. - Substitua quaisquer certificados de CA expirados ou revogados no armazenamento confiável para manter a validade da cadeia.
AADSTS500177: Lista de Certificados Revogados (CRL) configurada incorretamente. O ponto de distribuição de CRL delta é configurado sem um ponto de distribuição de CRL de base correspondente. Entre em contato com o administrador.	Indica que a configuração da autoridade de certificação inclui um ponto de distribuição de CRL delta, mas o ponto de distribuição de CRL base correspondente está ausente ou não está configurado corretamente.	- Os CDPs (pontos de distribuição de CRL) configurados nos certificados ou configurações de CA são URLs inválidos, inacessíveis ou incorretos. - A autoridade de certificação não publicou a CRL corretamente ou a CRL expirou, causando falhas de validação. - Os dispositivos ou serviços Microsoft Entra ID não podem acessar as URLs da CRL devido a regras de firewall, restrições de proxy ou problemas de conectividade de rede. - Configurações mal configuradas no Microsoft Entra ou na Autoridade de Certificação emissora relacionadas ao tratamento de CRL.	- Confirme e atualize os pontos de distribuição de CRL para URLs precisas e acessíveis publicamente. - Garantir que os CRLs sejam publicados e renovados regularmente antes do vencimento. Automatize a publicação de CRL, se possível. - Permita o tráfego de rede necessário para pontos de distribuição de CRL atualizando as regras de firewall, proxy ou dispositivo de segurança. - Verifique se há corrupção ou truncamento nas CRLs baixadas e publique novamente, se necessário. - Verifique novamente as configurações de ID e CA do Microsoft Entra relacionadas à publicação de CRL, URLs e políticas de validação.
AADSTS500178: Não é possível recuperar segmentos de CRL válidos para {type}. Tente novamente mais tarde.	O Microsoft Entra ID não consegue baixar ou processar todos os segmentos necessários da Lista de Revogação de Certificados (CRL) durante a validação do certificado.	- A CRL é publicada em vários segmentos, e um ou mais segmentos estão ausentes, corrompidos ou inacessíveis. - Restrições de rede ou firewalls bloqueiam o acesso a um ou mais segmentos de CRL. - Os segmentos de CRL disponíveis podem ter expirado ou não estão atualizados corretamente. - URLs incorretas ou entradas ausentes nos pontos de distribuição de CRL do certificado onde os segmentos estão hospedados.	- Faça o download manual de todos os segmentos de CRL de seus pontos de distribuição e verifique se há integridade e validade. - Certifique-se de que todas as URLs de segmento de CRL estão corretamente configuradas e acessíveis. Atualize certificados ou configurações de CA se as URLs de CDP tiverem sido alteradas. - Confirme se a autoridade de certificação publica e mantém todos os segmentos de CRL corretamente, sem corrupção ou falta de peças.
AADSTS500179: A validação da CRL expirou. Tente novamente mais tarde.	O tempo limite de download da CRL expirou ou foi interrompido.	- O tamanho da CRL excede os limites - Latência ou instabilidade da rede	- Manter o tamanho da CRL abaixo de 20MB (Azure comercial) ou 45MB (Azure para o governo dos EUA) - Defina `Next Update` o intervalo para pelo menos uma semana - Monitore o desempenho de download de CRL através de logs de login.
AADSTS500183: O certificado foi revogado. Entre em contato com o administrador	Uma tentativa de autenticação falhou porque o dispositivo cliente apresentou um certificado que foi revogado pela autoridade de certificação emissora.	O certificado usado para autenticação é encontrado na Lista de Revogação de Certificados (CRL) ou sinalizado como revogado pela autoridade de certificação.	- O administrador do locatário deve garantir que o novo certificado esteja corretamente provisionado e confiável pelo ID do Microsoft Entra. - Verifique se as CRLs e as CRLs delta publicadas pela sua autoridade de certificação estão atualizadas e acessíveis para os dispositivos.
AADSTS2205011: A Lista de Revogação de Certificados (CRL) baixada não está em um formato de codificação ASN.1 válido. Entre em contato com o administrador.	O arquivo CRL buscado pelo Microsoft Entra não está codificado corretamente seguindo o padrão DER (Abstract Syntax Notation One) Distinguished Encoding Rules (ASN.1), que é necessário para analisar e validar os dados da CRL.	- O arquivo CRL está corrompido ou truncado durante a publicação ou transmissão. - A CRL foi gerada ou codificada incorretamente pela autoridade de certificação e não está em conformidade com os padrões ASN.1 DER. - Conversões de formato de arquivo (como codificação base64/PEM imprópria) corromperam os dados CRL.	- Faça o download manual da CRL e inspecione-a com ferramentas como openssl ou analisadores ASN.1 especializados para confirmar se está corrompido ou malformado. - Regenerar e republicar a CRL da CA garantindo a conformidade com os padrões de codificação ASN.1 DER. - Garantir que o software ou as ferramentas de CA que geram CRLs estejam em conformidade com a RFC 5280 e codificem corretamente as CRLs no formato ASN.1 DER.
AADSTS2205012: A tentativa de baixar a Lista de Revogação de Certificados (CRL) de '{uri}' durante a entrada interativa expirou. Estamos tentando fazer o download novamente. Por favor, tente novamente em alguns minutos.	O Microsoft Entra ID não pôde recuperar o arquivo CRL dentro do tempo esperado da URL especificada.	- Os serviços Microsoft Entra ID não podem chegar ao ponto de distribuição de CRL devido a interrupções de rede, restrições de firewall ou falhas de DNS. - O servidor que hospeda a CRL está inativo, sobrecarregado ou não responde em tempo hábil. - CRLs grandes levam mais tempo para serem baixadas, potencialmente causando tempos limites.	- Use CRLs delta para manter tamanhos de arquivo CRL menores e atualizar com mais frequência para reduzir o tempo de download. - Publique ou atualize CRLs fora do horário de pico para reduzir a carga do servidor e melhorar os tempos de resposta. - Monitorar e manter alta disponibilidade e desempenho dos servidores de hospedagem CRL.
AADSTS2205013: O download da Lista de Revogação de Certificados (CRL) está atualmente em andamento. Por favor, tente novamente em alguns minutos.	Acontece quando várias tentativas de autenticação disparam simultaneamente downloads de CRL e o sistema ainda está processando a recuperação de CRL atual.	- Quando uma CRL expira ou está prestes a expirar, vários usuários entrando simultaneamente podem causar tentativas simultâneas de baixar a CRL nova. - O Microsoft Entra ID aplica um mecanismo de bloqueio para impedir downloads simultâneos da mesma CRL para reduzir a carga e as possíveis condições de corrida. Isso faz com que algumas solicitações de autenticação sejam negadas temporariamente com essa mensagem de nova tentativa. - Grandes populações de usuários ou grandes explosões de login podem aumentar a frequência desse erro.	- Aguarde alguns minutos para que o download de CRL em andamento termine antes de tentar entrar novamente. - Garantir que as CRLs sejam publicadas e atualizadas regularmente antes da expiração para reduzir os redownloads forçados.
AADSTS2205014:A tentativa de baixar a Lista de Certificados Revogados (CRL) de '{uri}' durante a entrada interativa excedeu o tamanho máximo permitido ({size} bytes). A CRL está sendo provisionada com o limite de download de serviço da CRL, tente novamente em alguns minutos.	O arquivo CRL que o Microsoft Entra ID tentou baixar é maior do que o limite de tamanho definido pelo serviço. O Microsoft Entra tentará fazer o download em segundo plano com limites mais altos.	- O arquivo CRL publicado pela autoridade de certificação é muito grande, muitas vezes devido a um alto número de certificados revogados. - CRLs grandes podem ocorrer se os certificados revogados não forem limpos ou se a autoridade de certificação mantiver longos períodos de expiração para dados de revogação. - Grandes tamanhos de CRL aumentam os tempos de download e o consumo de recursos durante a autenticação baseada em certificados.	- Remova certificados revogados obsoletos ou expirados do banco de dados da autoridade de certificação. - Encurtar os períodos de validade da CRL e aumentar a frequência de publicação para manter os tamanhos da CRL gerenciáveis. - Implementar CRLs delta para distribuir apenas informações de revogação incremental e reduzir a largura de banda.
AADSTS2205015: A lista de certificados revogados (CRL) falhou na validação da assinatura. O SubjectKeyIdentifier esperado {expectedSKI} não corresponde ao AuthorityKeyIdentifier {crlAK} da CRL. Entre em contato com o administrador.	A assinatura criptográfica na CRL não pôde ser validada porque a CRL foi assinada por um certificado cujo Identificador de Chave de Assunto (SKI) não corresponde ao Identificador de Chave de Autoridade (AKI) esperado pela ID do Microsoft Entra.	- O certificado da autoridade de certificação usado para assinar a CRL mudou, mas o novo SKI não foi atualizado ou sincronizado na lista de certificados confiáveis. - A CRL está desatualizada ou incompatível devido a uma configuração incorreta na hierarquia PKI. - Certificados de CA intermediários incorretos ou ausentes na lista de certificados confiáveis. - O certificado de assinatura de CRL pode não ter o uso de chave apropriado para assinar CRLs.	- Verifique se o Identificador de Chave de Assunto (SKI) do certificado de CA que assina a CRL corresponde ao Identificador de Chave de Autoridade (AKI) na CRL. - Confirme se o certificado de CA de assinatura é carregado e confiável no Microsoft Entra ID. - Valide se o certificado de CA usado para assinar a CRL tem os sinalizadores de uso de chave apropriados habilitados (como assinatura de CRL) e verifique se a cadeia de certificados está intacta e intacta. - Carregue ou atualize os certificados de CA raiz e intermediários corretos na lista de autoridades de certificação confiáveis do Microsoft Entra ID e verifique se o certificado usado para assinar a CRL está incluído e configurado corretamente.
AADSTS7000214: O certificado foi revogado.	O certificado foi revogado.	- Certificado listado no CRL	- Substituir certificado revogado - Investigar o motivo da revogação com a autoridade de certificação - Monitorar o ciclo de vida e a renovação do certificado

Perguntas frequentes

As próximas seções abordam perguntas e respostas comuns relacionadas às Listas de Revogação de Certificados.

Existe um limite para o tamanho da LCR?

Aplicam-se os seguintes limites de tamanho de CRL:

Limite de transferência de início de sessão interativo: 20 MB (Azure Global inclui GCC), 45 MB para (Azure US government, inclui GCC High, Departamento de Defesa)
Limite de download do serviço: 65 MB (Azure Global inclui GCC), 150 MB para (Azure US government, inclui GCC High, Dept. of Defense)

Quando um download de CRL falha, a seguinte mensagem aparece:

"A lista de revogação de certificados (CRL) baixada de {uri} excedeu o tamanho máximo permitido ({size} bytes) para CRLs no Microsoft Entra ID. Tente novamente em poucos minutos. Se o problema persistir, entre em contato com os administradores do locatário."

O download permanece em segundo plano com limites mais altos.

Estamos revisando o impacto desses limites e temos planos para removê-los.

Vejo um conjunto de pontos de extremidade da Lista de Revogação de Certificados (CRL) válido, mas por que não vejo nenhuma revogação de CRL?

Verifique se o ponto de distribuição da CRL está definido como uma URL HTTP válida.
Verifique se o ponto de distribuição da CRL está acessível por meio de uma URL voltada para a Internet.
Certifique-se de que os tamanhos de CRL estão dentro dos limites.

Como faço para revogar instantaneamente um certificado?

Siga as etapas para revogar manualmente um certificado.

Como posso ativar ou desativar a verificação de revogação de certificados para uma autoridade de certificação específica?

Recomendamos não desabilitar a verificação da lista de revogação de certificados (CRL) porque você não poderá revogar certificados. No entanto, se você precisar investigar problemas com a verificação de CRL, poderá isentar uma autoridade de certificação da verificação de CRL no centro de administração do Microsoft Entra. Na política de métodos de autenticação CBA, selecione Configurar e, em seguida, selecione Adicionar isenção. Escolha a autoridade de certificação que deseja isentar e selecione Adicionar.

Quando um problema impede o Microsoft Entra de baixar a CRL, a causa geralmente são restrições de firewall. Na maioria dos casos, você pode resolver o problema atualizando as regras de firewall para permitir os endereços IP necessários para que o Microsoft Entra possa baixar com êxito a CRL. Para obter mais informações, consulte Lista de endereços IP da Microsoft.

Como posso encontrar a CRL de uma AC ou como resolvo o erro "AADSTS2205015: A lista de certificados revogados (CRL) falhou na validação da assinatura"?

Baixe a CRL e compare o certificado da autoridade de certificação e as informações da CRL para validar se o crlDistributionPoint valor é válido para a autoridade de certificação que você deseja adicionar. Você pode configurar a CRL para a autoridade de certificação correspondente fazendo a correspondência entre o identificador de chave de assunto (SKI) do emissor da autoridade de certificação e o identificador de chave de autoridade (AKI) da CRL (CA Issuer SKI == CRL AKI).

A tabela e a figura a seguir mostram como mapear informações do certificado da autoridade de certificação para os atributos da CRL baixada.

Informações do certificado da autoridade de certificação	=	Informações da CRL baixadas
Assunto	=	Issuer
Identificador de chave de assunto (SKI)	=	Identificador de chave de autoridade (KeyID)

Captura de tela que compara campos de certificado de autoridade de certificação com informações de CRL.

Lista de Revogação de Certificados CBA do Microsoft Entra

Próximos passos

Feedback

Esta página foi útil?

Last updated on 2025-08-29