Microsoft Entra autenticación basada en certificados: lista de revocación de certificados (CRL)

Una lista de revocación de certificados (CRL) es una lista de certificados revocados por la entidad emisora de certificados (CA) antes de su fecha de expiración programada. Las CRL son esenciales para mantener la integridad de la autenticación. Cuando se revoca un certificado, se marca como que no es de confianza aunque no haya expirado. La incorporación de CRL en la autenticación basada en certificados garantiza que solo se aceptan certificados válidos y no revocados y Microsoft Entra ID bloquea cualquier intento mediante un certificado revocado.

Las CRL están firmadas digitalmente por la ENTIDAD de certificación y se publican en ubicaciones accesibles públicamente, lo que les permite descargarlas a través de Internet para comprobar el estado de revocación de los certificados. Cuando un cliente presenta un certificado para la autenticación, el sistema comprueba la CRL para determinar si se ha revocado el certificado.

Si el certificado se encuentra en la CRL, se rechaza el intento de autenticación. Normalmente, las CRL se actualizan periódicamente y las organizaciones deben asegurarse de que tienen la versión más reciente de la CRL para tomar decisiones precisas sobre la validez del certificado.

En Microsoft Entra autenticación basada en certificados (CBA), cuando se configuran las CRL, el sistema debe recuperar y validar la CRL durante la autenticación. Si Microsoft Entra ID no puede acceder al punto de conexión crL, se produce un error en la autenticación porque la CRL es necesaria para confirmar la validez del certificado.

Funcionamiento de una CRL en la autenticación basada en certificados

Una CRL funciona proporcionando un mecanismo para comprobar la validez de los certificados usados para la autenticación. El proceso implica varios pasos clave:

  • Emisión de certificados: Cuando una ENTIDAD de certificación emite un certificado, es válido hasta su fecha de expiración a menos que se revoque anteriormente. Cada certificado contiene una clave pública y está firmada por la ENTIDAD de certificación.

  • Revocación: Si es necesario revocar un certificado (por ejemplo, si la clave privada está en peligro o el certificado ya no es necesario), la ENTIDAD de certificación la agrega a la CRL.

  • Distribución CRL: La Autoridad de Certificación publica la CRL en una ubicación accesible por los clientes, como un servidor web o un servicio de directorio. La CRL suele estar firmada por la ENTIDAD de certificación para garantizar su integridad. Si la CRL no está firmada por la ENTIDAD de certificación, se produce un error de criptografía AADSTS2205015 y sigue los pasos descritos en Preguntas más frecuentes para solucionar el problema.

  • Comprobación de cliente: Cuando un cliente presenta un certificado para la autenticación, el sistema recupera la CRL para cada entidad de certificación (EA) en la cadena de certificados desde sus ubicaciones publicadas y verifica si alguna de las EAs ha sido revocada. Si alguna ubicación crL no está disponible, se produce un error en la autenticación porque el sistema no puede comprobar el estado de revocación del certificado.

  • Autenticación: Si el certificado se encuentra en la CRL, se rechaza el intento de autenticación y se deniega el acceso al cliente. Si el certificado no está en la CRL, la autenticación continúa como normal.

  • Actualizaciones de CRL: La CRL se actualiza periódicamente por la entidad de certificación y los clientes deben asegurarse de que tienen la versión más reciente para tomar decisiones precisas sobre la validez del certificado. El sistema almacena en caché la CRL durante un período determinado para reducir el tráfico de red y mejorar el rendimiento, pero también comprueba si hay actualizaciones periódicamente.

Descripción del proceso de revocación de certificados en Microsoft Entra autenticación basada en certificados

El proceso de revocación de certificados permite a los administradores de directivas de autenticación revocar un certificado emitido previamente para que no se pueda usar para la autenticación futura.

Los administradores de políticas de autenticación configuran el punto de distribución CRL durante el proceso de configuración para emisores de confianza en el tenant Microsoft Entra. Cada emisor de confianza debe tener una CRL a la que puede hacer referencia mediante una dirección URL accesible desde Internet. Para obtener más información, vea Configurar entidades de certificación.

Microsoft Entra ID solo admite un punto de conexión CRL y solo admite HTTP o HTTPS. Se recomienda usar HTTP en lugar de HTTPS para la distribución crL. Las comprobaciones de CRL se producen durante la autenticación basada en certificados y cualquier retraso o error al recuperar la CRL puede bloquear la autenticación. El uso de HTTP minimiza la latencia y evita las posibles dependencias circulares causadas por HTTPS (lo que requiere la validación de certificados). Para garantizar la confiabilidad, hospede las CRL en puntos de conexión HTTP de alta disponibilidad y compruebe que son accesibles a través de Internet.

Importante

El tamaño máximo de una CRL para que Microsoft Entra ID se descargue correctamente en un inicio de sesión interactivo es de 20 MB en Microsoft Entra ID público y 45 MB en la nube de Azure US Government. El tiempo necesario para descargar la CRL no debe superar los 10 segundos. Si Microsoft Entra ID no puede descargar una CRL, las autenticaciones basadas en certificados con certificados emitidos por la CA correspondiente fallarán. Como procedimiento recomendado para mantener los archivos CRL dentro de los límites de tamaño, mantenga la vigencia del certificado dentro de límites razonables y limpie los certificados expirados.

  1. Cuando un usuario realiza un inicio de sesión interactivo con un certificado, Microsoft Entra ID descarga y almacena en caché la lista de revocación de certificados (CRL) del cliente desde su entidad de certificación para comprobar si los certificados se revocan durante la autenticación del usuario. Microsoft Entra usa el atributo SubjectKeyIdentifier en lugar de SubjectName para compilar la cadena de certificados. Cuando las CRL están habilitadas, las configuraciones de PKI deben incluir los valores SubjectKeyIdentifier y Identificador de clave de autoridad para garantizar la comprobación de revocación adecuada.

    SubjectKeyIdentifier proporciona un identificador único inmutable para la clave pública del certificado, lo que hace que sea más confiable que SubjectName, que puede cambiar o duplicarse entre certificados. Este atributo garantiza la creación de cadenas precisa y la validación crL coherente en entornos PKI complejos.

    Importante

    Si un administrador de directivas de autenticación omite la configuración de la CRL, Microsoft Entra ID no realiza ninguna comprobación de CRL durante la autenticación basada en certificados del usuario. Este comportamiento puede ser útil para la solución de problemas inicial, pero no se debe tener en cuenta para su uso en producción.

    • Solo CRL base: Si solo se configura el CRL base, Microsoft Entra ID lo descarga y almacena en caché hasta la marca temporal de la próxima actualización. Se produce un error en la autenticación si la CRL ha expirado y no se puede actualizar debido a problemas de conectividad o si el punto de conexión crL no proporciona una versión actualizada. Microsoft Entra aplica estrictamente el control de versiones de CRL: cuando se publica una nueva CRL, su número debe ser mayor que el de la versión anterior.

      El Número CRL garantiza un versionado monótono, evitando ataques de repetición donde se pudiera reintroducir un CRL antiguo para saltarse las comprobaciones de revocación. Al exigir que cada CRL tenga un número de versión superior, Microsoft Entra ID garantiza que siempre se usen los datos de revocación más recientes.

    • CRL base + delta: cuando ambos están configurados, ambos deben ser válidos y accesibles. Si falta o ha expirado, se produce un error en la validación de certificados según los estándares RFC 5280.

  2. Se produce un error en la autenticación basada en certificados de usuario si una CRL está configurada para el emisor de confianza y Microsoft Entra ID no puede descargar la CRL, debido a restricciones de disponibilidad, tamaño o latencia. Esta limitación hace que el punto de conexión crL sea un único punto de error crítico, lo que reduce la resistencia de la autenticación basada en certificados de Microsoft Entra ID. Para mitigar este riesgo, se recomienda usar soluciones de alta disponibilidad que garanticen el tiempo de actividad continuo para los puntos de conexión CRL.

  3. Si la CRL supera el límite interactivo de una nube, se produce un error en el inicio de sesión inicial del usuario con el siguiente error:

    The Certificate Revocation List (CRL) downloaded from {uri} has exceeded the maximum allowed size ({size} bytes) for CRLs in Microsoft Entra ID. Try again in few minutes. If the issue persists, contact your tenant administrators.

  4. Microsoft Entra ID intenta descargar la CRL, dependiendo de los límites del servicio (65 MB en la Microsoft Entra ID pública y 150 MB en Azure para el Gobierno de los Estados Unidos).

  5. Los usuarios pueden reintentar la autenticación después de unos minutos. Si se revoca el certificado del usuario y aparece en la Lista de Revocación de Certificados (CRL), la autenticación falla.

    Importante

    La revocación de un token para un certificado revocado no es inmediata debido al almacenamiento en caché CRL. Si una CRL ya está almacenada en caché, los certificados recién revocados no se detectan hasta que la caché se actualice con una CRL actualizada. Las CRL delta suelen incluir estas actualizaciones, por lo que la revocación surte efecto una vez cargada la CRL delta. Si no se usan CRL delta, la revocación depende del período de validez de la CRL base. Los administradores solo deben revocar los tokens manualmente cuando la revocación inmediata es fundamental, como en escenarios de alta seguridad. Para obtener más información, consulte Configuración de la revocación.

  6. No se admite el Protocolo de estado de certificado en línea (OCSP) debido a motivos de rendimiento y confiabilidad. En lugar de descargar la CRL en cada conexión por el explorador cliente para OCSP, Microsoft Entra ID la descarga una vez en el primer inicio de sesión y la almacena en caché. Esta acción mejora el rendimiento y la confiabilidad de la comprobación de CRL. También indexamos la memoria caché para que la búsqueda sea mucho más rápida cada vez.

  7. Si Microsoft Entra descarga correctamente la CRL, almacena en caché y reutiliza la CRL para cualquier uso posterior. Respeta la siguiente fecha de actualización y, si está disponible, la siguiente fecha de publicación de CRL (usada por las CA de Windows Server) del documento de la CRL.

  8. Si el certificado del usuario aparece como revocado en la CRL, se produce un error en la autenticación de usuario.

    Captura de pantalla del certificado de usuario revocado en la CRL.

    Importante

    Debido a la naturaleza del almacenamiento en caché de CRL y los ciclos de publicación, se recomienda encarecidamente que, si hay una revocación de certificado, también revoque todas las sesiones del usuario afectado en Microsoft Entra ID.

  9. Microsoft Entra ID intenta capturar previamente una nueva CRL desde el punto de distribución si el documento CRL almacenado en caché ha expirado. Si CRL tiene una "Fecha de publicación siguiente" Microsoft Entra realiza una captura previa de CRL incluso si la CRL en caché no ha expirado. A partir de ahora, no hay forma de forzar o volver a intentar manualmente la descarga de la CRL.

    Nota:

    Microsoft Entra ID comprueba la CRL de la entidad de certificación emisora y otras CA en la cadena de confianza de PKI hasta la CA raíz. Tenemos un límite de hasta 10 CA del certificado de cliente de hoja para la validación de CRL en la cadena PKI. La limitación es asegurarse de que un actor malicioso no interrumpa el servicio cargando una cadena PKI con un gran número de CA y un tamaño mayor de CRL. Si la cadena de PKI del inquilino tiene más de 10 CAs, y si hay un compromiso de CA, los administradores de directivas de autenticación deben eliminar el emisor de confianza comprometido de la configuración del inquilino de Microsoft Entra. Para más información, véase Pre-captaciónde CRL.

Configuración de la revocación

Para revocar un certificado de cliente, Microsoft Entra ID captura la lista de revocación de certificados (CRL) de las direcciones URL cargadas como parte de la información de la entidad de certificación y la almacena en caché. La última marca de tiempo de publicación (propiedad Fecha efectiva ) en la CRL se usa para asegurarse de que la CRL sigue siendo válida. De forma periódica, se hace referencia a la CRL para revocar el acceso a los certificados que forman parte de la lista.

Revocación inmediata de sesiones con Entra CBA

Hay muchos escenarios que podrían requerir que un administrador revoque inmediatamente todos los tokens de sesión para que se revoque todo el acceso a un usuario. Estos escenarios incluyen

  • cuentas en peligro
  • Terminación del empleado
  • Entra outage donde se usan credenciales en caché que no incluyen validación CRL
  • otras amenazas internas.

Si se requiere realizar una revocación más instantánea (por ejemplo, si un usuario pierde un dispositivo), se puede invalidar el token de autorización del usuario. Para invalidar el token de autorización, establezca el campo StsRefreshTokensValidFrom para este usuario en particular mediante Windows PowerShell. Debe actualizar el campo StsRefreshTokensValidFrom para cada usuario para el que quiera revocar el acceso.

Para asegurarse de que la revocación persiste, debe establecer la fecha efectiva de la CRL en una fecha posterior al valor establecido por StsRefreshTokensValidFrom y asegurarse de que el certificado en cuestión está en la CRL.

En los pasos siguientes se describe el proceso para actualizar y invalidar el token de autorización estableciendo el campo StsRefreshTokensValidFrom .

# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"

# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"

# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom

La fecha establecida debe ser futura. De lo contrario, no se establece la propiedad StsRefreshTokensValidFrom. Si la fecha está en el futuro, StsRefreshTokensValidFrom se establece en la hora actual (no en la fecha indicada por Set-MsolUser comando).

Aplicación de la validación de CRL para entidades de certificación

Al cargar CAs en el almacén de confianza de Microsoft Entra, no es necesario incluir una CRL ni el atributo CrlDistributionPoint. Puedes subir una CA sin un endpoint CRL, y la autenticación basada en certificados no falla si una CA emisora no especifica un CRL.

Para reforzar la seguridad y evitar configuraciones incorrectas, un administrador de directivas de autenticación puede requerir que se produzca un error en la autenticación de CBA si una ENTIDAD de certificación que emite un certificado de usuario final no configura una CRL.

Habilitar la validación de CRL

  1. Seleccione Requerir validación de CRL (recomendado) para habilitar la validación de CRL.

    Captura de pantalla de cómo requerir la validación de CRL.

    Al habilitar esta configuración, CBA produce un error si el certificado de usuario final procede de una ENTIDAD de certificación que no configura una CRL.

  2. Un administrador de directivas de autenticación puede excluir una entidad de certificación si su CRL tiene problemas que deben corregirse. Seleccione Agregar exención y elija todas las CA que se van a excluir.

    Captura de pantalla de cómo excluir las CA de la validación de CRL.

  3. Las CA de la lista exenta no necesitan configurar una CRL y los certificados de usuario final que emiten no producen un error en la autenticación.

    Seleccione las entidades de certificación y seleccione Añadir. Utilice el cuadro de texto Buscar para filtrar las listas de CA y seleccionar CA específicas.

    Captura de pantalla de las CA que están exentas de la validación de CRL.

Guía para configurar CRLs (CRL base y delta) para Microsoft Entra ID

  1. Publicar CRL accesibles:

    • Asegúrese de que la ENTIDAD de certificación publica tanto la CRL base como las CRL delta (si procede) en las direcciones URL accesibles desde Internet a través de HTTP.
    • Microsoft Entra ID no puede validar certificados si las CRL se hospedan en servidores solo internos. Las direcciones URL deben ser de alta disponibilidad, rendimiento y resistencia para evitar errores de autenticación debido a la falta de disponibilidad.
    • Valide la accesibilidad de CRL mediante la prueba de la dirección URL de CRL en un explorador y el uso de certutil -url para las comprobaciones de distribución.

  2. Configurar direcciones URL de CRL en Microsoft Entra ID:

    • Cargue el certificado público de ca en Microsoft Entra ID y configure los puntos de distribución de CRL (CDP).
    • Dirección URL de CRL base: contiene todos los certificados revocados.
    • Dirección URL de CRL delta (opcional pero recomendada): contiene certificados revocados desde que se publicó la última CRL base.
    • Use herramientas como certutil para comprobar la validez de CRL y solucionar problemas de certificado y CRL localmente.

  3. Establecer períodos de validez:

    • Establezca el período de validez de CRL base lo suficientemente largo como para equilibrar la sobrecarga operativa y la seguridad (normalmente de días a semanas).
    • Establezca el período de validez delta crL más corto (normalmente 24 horas) para permitir el reconocimiento oportuno de certificados revocados.
    • La validez más corta de la Delta CRL mejora la seguridad al reducir el período en el que los certificados revocados pueden permanecer válidos, pero incrementa la carga de trabajo para su emisión y distribución.
    • La validez predeterminada recomendada de 24 horas para las CRL delta en servidores Windows es un rendimiento y seguridad estándar ampliamente aceptados.
    • Microsoft Entra ID está diseñado para controlar de forma eficaz las actualizaciones frecuentes de crL delta sin degradación del rendimiento y las mejoras continuas ayudan a mejorar esto aún más.
    • Microsoft Entra ID aplica mecanismos de limitación para protegerse frente a ataques DDoS durante las descargas de CRL delta, lo que puede dar lugar a errores temporales como "AADSTS2205013" para un pequeño subconjunto de usuarios.

  4. Garantizar la alta disponibilidad y el rendimiento:

    • Hospede las CRL en servidores web confiables o redes de entrega de contenido (CDN) para minimizar retrasos o errores durante la recuperación.
    • Supervise la publicación y accesibilidad de CRL de forma proactiva.

  5. Proteja contra ataques de estrangulamiento y de denegación de servicio distribuido (DDoS).

    • Para proteger los servicios y usuarios de Microsoft Entra ID, se aplica la limitación a las operaciones de obtención de CRL durante cargas elevadas o posibles abusos.
    • Programar la publicación de CRL y los ciclos de caducidad durante las horas poco valle para minimizar la probabilidad de que la limitación afecte a los usuarios.

  6. Gestión del tamaño de CRL

    • Mantenga las cargas CRL lo más pequeñas posible, idealmente mediante la emisión frecuente de delta CRL y el archivo de entradas antiguas, para mejorar la velocidad de recuperación y reducir el ancho de banda.

  7. Habilitar la validación de CRL

    • Aplique la validación de CRL en las directivas de Microsoft Entra ID para garantizar que se detecten los certificados revocados. Para obtener más información, consulte Habilitación de la validación de CRL.
    • Considere la omisión temporal de la comprobación de CRL solo como último recurso durante la solución de problemas, con una comprensión de los riesgos de seguridad.

  8. Prueba y supervisión

    • Realice pruebas periódicas para comprobar que las CRL son descargables y reconocidas correctamente por Microsoft Entra ID.
    • Use la supervisión para detectar y corregir rápidamente cualquier problema de validación o disponibilidad de CRL.

Referencia de error de CRL

Código de error y mensaje Description Causas comunes Recommendations
AADSTS500171: se ha revocado el certificado. Póngase en contacto con el administrador. El certificado está en la CRL, indicando que ha sido revocado. El administrador revoca el certificado. Si un certificado se incluye erróneamente en la CRL, haga que la ENTIDAD emisora vuelva a emitir la CRL con una lista actualizada que refleje con precisión las revocaciones previstas.
AADSTS500172: el certificado '{name}' emitido por '{issuer}' no es válido. Hora actual: '{curTime}'. Certificado NotBefore: '{startTime}'. Certificado no válido después de: '{endTime}'. El CRL no es válido a tiempo. Las CRLs o las CRLs delta usadas para validar el certificado tienen problemas de tiempo, como CRLs expiradas o tiempos de validez o publicación configurados incorrectamente. - Confirme que las fechas NotBefore y NotAfter del certificado abarcan correctamente la hora actual.
- Compruebe que las CRL base y delta publicadas por la ENTIDAD de certificación no han expirado.
AADSTS500173: >no se puede descargar una lista de revocación de certificados (CRL). Código de estado {code} no válido del punto de distribución CRL. Póngase en contacto con el administrador. CrL no se pudo descargar debido a problemas de punto de conexión. - El punto de conexión CRL devuelve errores HTTP (como 403)
- CRL expirado sin actualización		 - Confirmar que el punto de conexión crL devuelve datos válidos
- Asegúrese de que la entidad de certificación publica periódicamente las CRL actualizadas.
- La dirección URL de CRL no es accesible debido a problemas de red, bloques de firewall o tiempo de inactividad del servidor.
- Habilite crL fail-safe para bloquear certificados no verificables.
AADSTS500174: no se puede construir una lista de revocación de certificados (CRL) válida a partir de la respuesta. Microsoft Entra ID no puede analizar ni utilizar la CRL obtenida desde el punto de distribución especificado. - La dirección URL de CRL no es accesible debido a problemas de red, bloques de firewall o tiempo de inactividad del servidor.
- El archivo CRL descargado está dañado, incompleto o con formato incorrecto.
- Las direcciones URL de los campos CDP del certificado no apuntan a archivos CRL válidos ni están mal configurados.		 - Compruebe la accesibilidad, la validez y la integridad de CRL.
- Inspeccione el archivo CRL para detectar daños o contenido incompleto.
AADSTS500175: error en la comprobación de revocación porque falta la lista de revocación de certificados (CRL) de un certificado de la cadena. Durante la comprobación de la revocación de certificados, Microsoft Entra no pudo encontrar un segmento o parte necesarios de la lista de revocación de certificados (CRL). - El archivo CRL descargado del punto de distribución de CRL (CDP) está dañado o truncado.
- Publicación incorrecta o incompleta de la CRL por la ENTIDAD de certificación.
- Problemas de red que provocan descargas crL incompletas o erróneas.
- Configuración incorrecta de las direcciones URL del punto de distribución CRL o segmentos de archivo.		 - Comprobación de la integridad de CRL
- Volver a publicar o regenerar CRL
- Comprobar la configuración de red y proxy
- Asegurar la configuración correcta de CDP en todas las CA
AADSTS500176: La autoridad certificadora que emitió tu certificado no está configurada en el inquilino. Póngase en contacto con el administrador. Microsoft Entra no pudo encontrar el certificado de entidad de certificación emisora en su almacén de certificados de confianza. Esto evita la validación correcta de la cadena de confianza del certificado de usuario. - El certificado de CA emisora (raíz o intermedio) no se carga ni se configura en la lista de certificados de confianza de Microsoft Entra ID.
- La cadena de certificados almacenada en el cliente o dispositivo no se vincula correctamente a un certificado de entidad de certificación de confianza.
- Referencias de identificador de clave de firmante (SKI) y identificador de clave de autoridad (AKI) no coincidentes o que faltan en la cadena de certificados.
- Es posible que el certificado emisor haya expirado, revocado o no sea válido.		 - El administrador del tenant debe subir todos los certificados de CA raíz e intermedios relevantes al almacén de certificados confiable de Microsoft Entra a través del centro de administración de Microsoft Entra.
- Confirmar que el SKI del certificado de CA emisor coincide con el AKI en el certificado del usuario para asegurar un enlace adecuado de la cadena.
- Use herramientas como certutil o OpenSSL para comprobar que la cadena de certificados completa está intacta, sin problemas y de confianza.
- Reemplazar los certificados de Autoridad Certificadora expirados o revocados en el almacén confiable para mantener la validez de la cadena.
AADSTS500177: lista de revocación de certificados (CRL) mal configurada. El punto de distribución Delta CRL se configura sin un punto de distribución CRL base correspondiente. Póngase en contacto con el administrador. Indica que la configuración de su Autoridad de Certificación incluye un punto de distribución de CRL Delta, pero falta el punto de distribución de CRL Base correspondiente o no está configurado correctamente. - Los puntos de distribución CRL (CDP) configurados en los certificados o la configuración de la CA no son válidos, son inaccesibles o son direcciones URL incorrectas.
- La ENTIDAD de certificación no ha publicado correctamente la CRL o la CRL ha expirado, lo que provoca errores de validación.
- Los dispositivos o los servicios Microsoft Entra ID no pueden acceder a las direcciones URL de crL debido a reglas de firewall, restricciones de proxy o problemas de conectividad de red.
- Configuraciones incorrectas en Microsoft Entra o en la entidad de certificación emisora relacionadas con el manejo de CRL.		 - Confirme y actualice los puntos de distribución crL a direcciones URL precisas y accesibles públicamente.
- Asegúrese de que las CRL se publican y renuevan periódicamente antes de la expiración. Automatizar la publicación de las CRL si es posible.
- Permitir el tráfico de red necesario a los puntos de distribución CRL mediante la actualización de reglas de firewall, proxy o dispositivo de seguridad.
- Verificar las CRL descargadas para detectar corrupción o truncamiento, y volver a publicar si es necesario.
- Comprobar dos veces las configuraciones de Microsoft Entra ID y CA relacionadas con la publicación de CRL, URLs y políticas de validación.
AADSTS500178: no se pueden recuperar segmentos CRL válidos para {type}. Inténtelo de nuevo más tarde. Microsoft Entra ID no logra descargar ni procesar todos los segmentos necesarios de la lista de revocación de certificados (CRL) durante la validación del certificado. - La CRL se publica en varios segmentos y faltan uno o varios segmentos, están dañados o inaccesibles.
- Las restricciones de red o los firewalls bloquean el acceso a uno o varios segmentos CRL.
- Es posible que los segmentos CRL disponibles hayan expirado o no se actualicen correctamente.
- Direcciones URL incorrectas o entradas que faltan en los puntos de distribución CRL del certificado donde se hospedan los segmentos.		 - Descargue manualmente todos los segmentos CRL desde sus puntos de distribución y compruebe la integridad y la validez.
- Asegúrese de que todas las direcciones URL del segmento CRL están configuradas y accesibles correctamente. Actualice las configuraciones de certificados o ca si han cambiado las direcciones URL de CDP.
- Confirme que la Autoridad de Certificación publica y mantiene todos los segmentos CRL correctamente, sin daños ni elementos que falten.
AADSTS500179: se agota el tiempo de espera de validación de CRL. Inténtelo de nuevo más tarde. La descarga de CRL agotó el tiempo de espera o se interrumpió. - El tamaño de la CRL supera los límites
- Latencia de red o inestabilidad		 - Mantener el tamaño de CRL por debajo de 20 MB (Azure comercial) o 45 MB (Azure para el Gobierno de EE. UU.)
- Establezca Next Update el intervalo en al menos una semana.
- Supervisar el rendimiento de la descarga de CRL mediante los registros de inicio de sesión.
AADSTS500183: se ha revocado el certificado. Póngase en contacto con el administrador. Error en el intento de autenticación porque el dispositivo cliente presentó un certificado revocado por la entidad de certificación emisora. El certificado usado para la autenticación se encuentra en la lista de revocación de certificados (CRL) o marcado como revocado por la entidad de certificación. - El administrador de inquilinos debe asegurarse de que el nuevo certificado esté correctamente provisionado y sea confiable por Microsoft Entra ID.
- Compruebe que las CRL y las delta CRL publicadas por la autoridad de certificación están actualizadas y accesibles para los dispositivos.
AADSTS2205011: la lista de revocación de certificados (CRL) descargada no tiene un formato de codificación ASN.1 válido. Póngase en contacto con el administrador. El archivo CRL capturado por Microsoft Entra no está codificado correctamente después del estándar Abstract Syntax Notation One (ASN.1) Distinguished Encoding Rules (DER), que es necesario para analizar y validar los datos CRL. - El archivo CRL está dañado o truncado durante la publicación o transmisión.
- El CRL fue generada o codificada incorrectamente por la Autoridad de Certificación y no se ajusta a los estándares DER de ASN.1.
- Las conversiones de formato de archivo (como la codificación base64/PEM incorrecta) dañan los datos CRL.		 - Descargar manualmente el CRL e inspeccionarlo con herramientas como openssl o analizadores ASN.1 especializados para confirmar si está corrupto o mal formado.
- Regenerar y republicar el CRL de la CA asegurando el cumplimiento de los estándares de codificación ASN.1 DER.
- Asegúrese de que el software o las herramientas de CA que generan CRL cumplen con RFC 5280 y codifican correctamente las CRL en formato DER ASN.1.
AADSTS2205012: El intento de descargar la lista de revocación de certificados (CRL) de '{uri}' durante el inicio de sesión interactivo ha agotado el tiempo de espera. Estamos intentando volver a descargar. Inténtelo de nuevo en unos minutos. Microsoft Entra ID no pudo recuperar el archivo CRL dentro del tiempo esperado a partir de la dirección URL especificada. - Los servicios de Microsoft Entra ID no pueden acceder al punto de distribución de CRL debido a fallos de red, restricciones de firewall o fallos de DNS.
- El servidor que hospeda la CRL está inactivo, sobrecargado o no responde de forma oportuna.
- Las CRL grandes tardan más tiempo en descargarse, lo que puede provocar tiempos de espera.
 - Use las CRL delta para mantener los tamaños de archivo CRL más pequeños y actualizar con más frecuencia para reducir el tiempo de descarga.
- Publicar o actualizar las CRL durante las horas de poca actividad para reducir la carga del servidor y mejorar los tiempos de respuesta.
- Supervisar y mantener la alta disponibilidad y el rendimiento de los servidores de hospedaje crL.
AADSTS2205013: la descarga de lista de revocación de certificados (CRL) está actualmente en curso. Inténtelo de nuevo en unos minutos. Ocurre cuando varios intentos de autenticación simultáneamente activan descargas de CRL y el sistema sigue procesando la recuperación actual de CRL. - Cuando una CRL expira o está a punto de expirar, varios usuarios que inician sesión simultáneamente pueden provocar intentos simultáneos de descargar la CRL nueva.
- Microsoft Entra ID aplica un mecanismo de bloqueo para evitar descargas simultáneas del mismo CRL, reduciendo así la carga y las posibles condiciones de competencia. Esto provoca que algunas solicitudes de autenticación se denieguen temporalmente con este mensaje de reintento.
- Las grandes poblaciones de usuarios o las ráfagas de inicio de sesión intensivas pueden aumentar la frecuencia de este error.		 - Espere unos minutos para que finalice la descarga de CRL en curso antes de reintentar el inicio de sesión.
- Asegúrese de que las CRL se publican y actualizan periódicamente antes de la expiración para reducir las re-descargas forzadas.
AADSTS2205014:El intento de descargar la lista de revocación de certificados (CRL) de '{uri}' durante el inicio de sesión interactivo ha superado el tamaño máximo permitido ({size} bytes). El CRL está siendo provisionado con el límite de descargas del servicio del CRL, por favor inténtalo de nuevo en unos minutos. El archivo CRL Microsoft Entra ID intentó descargar es mayor que el límite de tamaño establecido por el servicio. Microsoft Entra intentará descargar en segundo plano con límites más altos. - El archivo CRL publicado por la ENTIDAD de certificación es demasiado grande, a menudo debido a un gran número de certificados revocados.
- Pueden aparecer CRLs grandes si no se limpian los certificados revocados o si la CA mantiene largos periodos de caducidad para los datos de revocación.
- Los tamaños de CRL grandes aumentan los tiempos de descarga y el consumo de recursos durante la autenticación basada en certificados.		 - Quitar certificados obsoletos o expirados revocados de la base de datos de CA.
- Acortar los períodos de validez de crL y aumentar la frecuencia de publicación para mantener los tamaños crL administrables.
- Implementar CRLs delta para distribuir solo información incremental de revocación y reducir el ancho de banda.
AADSTS2205015: no se pudo validar la firma de la lista de revocación de certificados (CRL). El IdentificadorDeClaveDelSujeto esperado {expectedSKI} no coincide con el IdentificadorDeClaveDeLaAutoridad {crlAK} de la CRL. Póngase en contacto con el administrador. No se pudo validar la firma criptográfica en la CRL porque la CRL estaba firmada por un certificado cuyo identificador de clave de sujeto (SKI) no coincide con el identificador de clave de autoridad (AKI) esperado por Microsoft Entra ID. - El certificado de CA utilizado para firmar la CRL cambió, pero el nuevo SKI no se actualizó ni se sincronizó en la lista de certificados de confianza.
- La CRL está obsoleta o no coincide debido a una configuración incorrecta en la jerarquía de PKI.
- Certificados de Autoridad de Certificación (AC) intermedios incorrectos o que faltan en la lista de certificados confiables.
- El certificado de firma de CRL puede no tener el uso adecuado de clave para firmar CRLs.		 - Comprobar que el Identificador de Clave de Asunto (SKI) del certificado de CA que firma la CRL coincida con el Identificador de Clave de Autoridad (AKI) en la CRL.
- Confirmar que el certificado de la CA firmante está subido y confiable en Microsoft Entra ID.
- Valide que el certificado de autoridad de certificación usado para firmar la CRL tenga habilitadas las marcas de uso de claves adecuadas (como la firma de CRL) y compruebe que la cadena de certificados está intacta y no se ha roto.
- Cargue o actualice los certificados de entidad de certificación raíz e intermedio correctos en la lista de entidades de certificación de confianza de Microsoft Entra ID y asegúrese de que el certificado usado para firmar la CRL está incluido y configurado correctamente.
AADSTS7000214: se ha revocado el certificado. Se ha revocado el certificado. - Certificado enumerado en CRL - Reemplazar el certificado revocado
- Investigar el motivo de revocación con la AC
- Supervisar el ciclo de vida y la renovación de certificados

Preguntas más frecuentes

En estas secciones siguientes se tratan las preguntas y respuestas comunes relacionadas con las listas de revocación de certificados.

¿Hay un límite para el tamaño de CRL?

Se aplican los siguientes límites de tamaño de CRL:

  • Límite de descarga de inicio de sesión interactivo: 20 MB (Azure Global incluye GCC), 45 MB para (Azure gobierno de EE. UU., incluye GCC High, Departamento de Defensa)
  • Límite de descarga del servicio: 65 MB (Azure Global incluye GCC), 150 MB para Azure del gobierno de EE. UU. (incluye GCC High y el Departamento de Defensa)

Cuando se produce un error en la descarga de una CRL, aparece el siguiente mensaje:

"La lista de revocación de certificados (CRL) descargada de {uri} ha superado el tamaño máximo permitido ({tamaño} bytes) para las CRL en Microsoft Entra ID. Inténtelo de nuevo en pocos minutos. Si el problema persiste, póngase en contacto con los administradores de inquilinos".

La descarga permanece en segundo plano con límites más altos.

Estamos revisando el impacto de estos límites y tenemos planes para quitarlos.

Veo un conjunto de puntos de conexión de lista de revocación de certificados (CRL) válido, pero ¿por qué no veo ninguna revocación de CRL?

  • Asegúrese de que el punto de distribución crL esté establecido en una dirección URL HTTP válida.
  • Asegúrese de que el punto de distribución CRL sea accesible a través de una dirección URL accesible desde Internet.
  • Asegúrese de que los tamaños de CRL están dentro de los límites.

¿Cómo revoco instantáneamente un certificado?

Siga los pasos para revocar manualmente un certificado.

¿Cómo puedo activar o desactivar la comprobación de revocación de certificados para una entidad de certificación determinada?

No recomendamos deshabilitar la comprobación de la lista de revocación de certificados (CRL) porque no se podrá revocar certificados. Sin embargo, si necesitas investigar problemas con la comprobación CRL, puedes eximir a una CA de la verificación CRL en el centro de administración de Microsoft Entra. En la directiva Métodos de autenticación de CBA, seleccione Configurar y, a continuación, seleccione Agregar exención. Elija la ENTIDAD de certificación que desea excluir y seleccione Agregar.

Después de configurar un punto de conexión CRL, los usuarios finales no pueden iniciar sesión y ven "AADSTS500173: No se puede descargar CRL. Código de estado inválido Prohibido en el punto de distribución CRL."

Cuando un problema impide que Microsoft Entra descargue la CRL, la causa suele ser restricciones de firewall. En la mayoría de los casos, puede resolver el problema mediante la actualización de reglas de firewall para permitir las direcciones IP necesarias para que Microsoft Entra pueda descargar correctamente la CRL. Para obtener más información, consulte Download Azure IP Ranges and Service Tags – Public Cloud from Official Centro de descarga de Microsoft.

¿Cómo encuentro la CRL para una entidad de certificación o cómo se soluciona el error "AADSTS2205015: La lista de revocación de certificados (CRL) no pudo validar la firma"?

Descargue la CRL y compare el certificado de la Autoridad de Certificación y la información de la Lista de Revocación de Certificados (CRL) para validar que el valor crlDistributionPoint es válido para la Autoridad de Certificación que desea agregar. Puede configurar la CRL para la CA correspondiente al hacer coincidir el identificador de clave del sujeto emisor (SKI) de la CA con el identificador de clave de autoridad (AKI) de la CRL (CA Issuer SKI == CRL AKI).

En la tabla y la ilustración siguientes se muestra cómo asignar información del certificado de CA a los atributos de la CRL descargada.

Información del certificado de CA = Información descargada de CRL
Asunto = Emisor
Identificador de clave de sujeto (SKI) = Identificador de clave de autoridad (KeyID)

Captura de pantalla que compara los campos del certificado de CA con la información de CRL.

Pasos siguientes

  • Last updated on