Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Une liste de révocation de certificats (CRL) est une liste de certificats qui ont été révoqués par l’autorité de certification émettrice avant leur date d’expiration planifiée. Les listes de révocation de certificats sont essentielles pour maintenir l’intégrité de l’authentification. Lorsqu’un certificat est révoqué, il est marqué comme non approuvé, même s’il n’a pas expiré. L’incorporation de listes de révocation de certificats dans l’authentification basée sur des certificats garantit que seuls les certificats valides et non révoqués sont acceptés et Microsoft Entra ID bloque toute tentative à l’aide d’un certificat révoqué.
Les listes de révocation de certificats sont signées numériquement par l’autorité de certification et publiées sur des emplacements accessibles publiquement, ce qui leur permet d’être téléchargées sur Internet pour vérifier l’état de révocation des certificats. Lorsqu’un client présente un certificat pour l’authentification, le système vérifie la liste de révocation de certificats pour déterminer si le certificat a été révoqué.
Si le certificat se trouve dans la liste de révocation de certificats, la tentative d’authentification est rejetée. Les listes de révocation de certificats sont généralement mises à jour régulièrement et les organisations doivent s’assurer qu’elles disposent de la dernière version de la liste de révocation de certificats pour prendre des décisions précises sur la validité du certificat.
Dans Microsoft Entra l’authentification basée sur un certificat (CBA), lorsque les listes de révocation de certificats sont configurées, le système doit récupérer et valider la liste de révocation de certificats pendant l’authentification. Si Microsoft Entra ID ne peut pas accéder au point de terminaison de la liste de révocation de certificats, l’authentification échoue, car la liste de révocation de certificats est requise pour confirmer la validité du certificat.
Fonctionnement d’une liste de révocation de certificats dans l’authentification basée sur des certificats
Une liste de révocation de certificats fonctionne en fournissant un mécanisme permettant de vérifier la validité des certificats utilisés pour l’authentification. Le processus implique plusieurs étapes clés :
Émission de certificat : Lorsqu’un certificat est émis par une autorité de certification, il est valide jusqu’à sa date d’expiration, sauf s’il est révoqué précédemment. Chaque certificat contient une clé publique et est signé par l’autorité de certification.
Révocation: Si un certificat doit être révoqué (par exemple, si la clé privée est compromise ou si le certificat n’est plus nécessaire), l’autorité de certification l’ajoute à la liste de révocation de certificats.
Distribution de liste de révocation de certificats : L’autorité de certification publie la liste de révocation de certificats sur un emplacement accessible par les clients, comme un serveur web ou un service d’annuaire. La liste de révocation de certificats est généralement signée par l’autorité de certification pour garantir son intégrité. Si la liste de révocation de certificats n'est pas signée par l'autorité de certification, une erreur de chiffrement AADSTS2205015 est générée. Consultez les étapes dans les FAQ pour résoudre le problème.
Vérification du client : Lorsqu’un client présente un certificat pour l’authentification, le système récupère la liste de révocation de certificats pour chaque autorité de certification dans la chaîne de certificats à partir de ses emplacements publiés et vérifie les autorités de certification révoquées. Si un emplacement de liste de révocation de certificats n’est pas disponible, l’authentification échoue car le système ne peut pas vérifier l’état de révocation du certificat.
Authentification : Si le certificat se trouve dans la CRL, la tentative d’authentification est rejetée et l'accès au client est refusé. Si le certificat n’est pas dans la liste de révocation de certificats, l’authentification se poursuit normalement.
Mises à jour de la liste de révocation de certificats : La liste de révocation de certificats est mise à jour régulièrement par l’autorité de certification et les clients doivent s’assurer qu’elles disposent de la dernière version pour prendre des décisions précises sur la validité du certificat. Le système met en cache la liste de révocation de certificats pendant une certaine période pour réduire le trafic réseau et améliorer les performances, mais il vérifie également régulièrement les mises à jour.
Présentation du processus de révocation de certificats dans Microsoft Entra l’authentification basée sur des certificats
Le processus de révocation de certificat permet aux administrateurs de stratégie d’authentification de révoquer un certificat émis précédemment afin qu’il ne puisse pas être utilisé pour l’authentification future.
Les administrateurs de stratégies d’authentification peuvent configurer le point de distribution de la liste de révocation des certificats lors du processus pour d’installation des émetteurs approuvés dans le locataire Microsoft Entra. Chaque émetteur de confiance doit disposer d’une liste de révocation de certificats (CRL) accessible via une URL exposée sur Internet. Pour plus d’informations, consultez Configurer les autorités de certification.
Microsoft Entra ID prend en charge un seul point de terminaison de liste de révocation de certificats et prend uniquement en charge HTTP ou HTTPS. Nous vous recommandons d’utiliser HTTP au lieu de HTTPS pour la distribution de liste de révocation de certificats. Les vérifications de la liste de révocation de certificats se produisent pendant l’authentification basée sur un certificat, et tout retard ou échec lors de la récupération de la liste de révocation de certificats peut bloquer l’authentification. L’utilisation de HTTP réduit la latence et évite les dépendances circulaires potentielles provoquées par HTTPS (qui nécessite elle-même une validation de certificat). Pour garantir la fiabilité, hébergez des listes de révocation de certificats sur des points de terminaison HTTP hautement disponibles et vérifiez qu’elles sont accessibles sur Internet.
Important
La taille maximale d’une liste de révocation de certificats (CRL) pour Microsoft Entra ID pour être téléchargée avec succès lors d'une connexion interactive est de 20 Mo dans les environnements Microsoft Entra ID publics et 45 Mo dans les nuages Azure US Government. La durée requise pour télécharger la CRL ne doit pas dépasser 10 secondes. Si Microsoft Entra ID ne peut pas télécharger une CRL, les authentifications basées sur des certificats émis par l'autorité de certification correspondante échouent. Il est recommandé de conserver les fichiers CRL dans les limites de taille, de maintenir les durées de vie des certificats dans des limites raisonnables et de supprimer les certificats expirés.
Lorsqu'un utilisateur effectue une connexion interactive avec un certificat, Microsoft Entra ID télécharge et met en cache la liste de révocation de certificats du client auprès de son autorité de certification pour vérifier si les certificats sont révoqués pendant l'authentification de l'utilisateur. Microsoft Entra utilise l’attribut SubjectKeyIdentifier au lieu de SubjectName pour générer la chaîne de certificats. Lorsque les listes de révocation (CRL) sont activées, les configurations PKI doivent inclure les valeurs SubjectKeyIdentifier et Authority Key Identifier pour garantir une vérification de révocation appropriée.
SubjectKeyIdentifier fournit un identificateur unique et immuable pour la clé publique du certificat, ce qui le rend plus fiable que SubjectName, qui peut changer ou être dupliqué entre les certificats. Cet attribut garantit une création de chaîne précise et une validation uniforme de la CRL dans des environnements d'infrastructure à clé publique complexes.
Important
Si un administrateur de stratégie d'authentification ignore la configuration de la liste de révocation de certificats, Microsoft Entra ID n'effectue aucune vérification de liste de révocation de certificats pendant l'authentification basée sur le certificat de l'utilisateur. Ce comportement peut être utile pour la résolution des problèmes initiales, mais ne doit pas être pris en compte pour une utilisation en production.
Liste de révocation de certificats de base uniquement : si seule la liste de révocation de certificats de base est configurée, Microsoft Entra ID la télécharge et la met en cache jusqu'à l'horodatage de la prochaine mise à jour. L’authentification échoue si la liste de révocation de certificats a expiré et ne peut pas être actualisée en raison de problèmes de connectivité ou si le point de terminaison de liste de révocation de certificats ne fournit pas de version mise à jour. Microsoft Entra applique strictement le contrôle de version de liste de révocation de certificats : lorsqu’une nouvelle liste de révocation de certificats est publiée, son numéro de liste de révocation de certificats doit être supérieur à la version précédente.
Le numéro d'identifiant de liste de révocation de certificats assure un versionnement monotone, empêchant les attaques de réutilisation où une ancienne liste de révocation pourrait être réintroduite pour esquiver les vérifications de révocation. En exigeant que chaque nouvelle liste de révocation de certificats dispose d’un numéro de version supérieur, Microsoft Entra ID garantit que les données de révocation les plus récentes sont toujours utilisées.
CRL de base + delta : lorsque les deux sont configurées, elles doivent toutes deux être valides et accessibles. En cas d’absence ou d’expiration, la validation de certificat échoue selon les normes RFC 5280.
L'authentification basée sur un certificat utilisateur échoue si une liste de révocation de certificats est configurée pour l'émetteur approuvé et Microsoft Entra ID ne peut pas télécharger la liste de révocation de certificats en raison de contraintes de disponibilité, de taille ou de latence. Cette limitation rend le point de terminaison de la liste de révocation de certificats un point de défaillance critique, ce qui réduit la résilience de l’authentification basée sur les certificats de Microsoft Entra ID. Pour atténuer ce risque, nous vous recommandons d’utiliser des solutions hautement disponibles qui garantissent une disponibilité continue pour les endpoints de la CRL.
Si la liste de révocation de certificats dépasse la limite interactive pour un cloud, la connexion initiale de l’utilisateur échoue avec l’erreur suivante :
The Certificate Revocation List (CRL) downloaded from {uri} has exceeded the maximum allowed size ({size} bytes) for CRLs in Microsoft Entra ID. Try again in few minutes. If the issue persists, contact your tenant administrators.Microsoft Entra ID tente de télécharger la CRL (liste de révocation de certificats) sous réserve des limites côté service (65 Mo pour Microsoft Entra ID public et 150 Mo dans Azure pour le gouvernement des États-Unis).
Les utilisateurs peuvent réessayer l’authentification après quelques minutes. Si le certificat de l’utilisateur est révoqué et apparaît dans la liste de révocation de certificats, l’authentification échoue.
Important
La révocation de jetons pour un certificat révoqué n’est pas immédiate en raison de la mise en cache de la liste de révocation de certificats. Si une liste de révocation de certificats est déjà mise en cache, les certificats nouvellement révoqués ne sont pas détectés tant que le cache n’est pas actualisé avec une liste de révocation de certificats mise à jour. Les listes de révocation de certificats delta incluent généralement ces mises à jour. Par conséquent, la révocation prend effet une fois la liste de révocation de certificats delta chargée. Si les listes de révocation de certificats delta ne sont pas utilisées, la révocation dépend de la période de validité de la liste de révocation de certificats de base. Les administrateurs doivent révoquer manuellement des jetons uniquement lorsque la révocation immédiate est critique, par exemple dans les scénarios de haute sécurité. Pour plus d’informations, consultez Configurer la révocation.
Nous ne prenons pas en charge le protocole OCSP (Online Certificate Status Protocol) en raison des raisons de performances et de fiabilité. Plutôt que de télécharger la CRL à chaque connexion par le navigateur client pour OCSP, Microsoft Entra ID ne la télécharge qu'une fois lors de la première connexion et la met en cache. Cette action améliore les performances et la fiabilité de la vérification de la liste de révocation de certificats. Nous indexons également le cache afin que la recherche soit beaucoup plus rapide à chaque fois.
Si Microsoft Entra télécharge correctement la liste de révocation de certificats, elle met en cache et réutilise la liste de révocation de certificats pour toute utilisation ultérieure. Il honore la prochaine date de mise à jour et, le cas échéant, la prochaine date de publication de la liste de révocation de certificats (utilisée par les autorités de certification Windows Server) dans le document CRL.
Si le certificat de l’utilisateur est répertorié comme révoqué sur la liste de révocation de certificats, l’authentification utilisateur échoue.
Important
En raison de la nature des cycles de mise en cache et de publication de la liste de révocation de certificats, il est vivement recommandé que, s'il existe une révocation de certificats, vous révoquez également toutes les sessions de l'utilisateur concerné dans Microsoft Entra ID.
Microsoft Entra ID tente de précharger une nouvelle CRL depuis le point de distribution si le document CRL en cache a expiré. Si la CRL contient une « date de publication suivante », Microsoft Entra effectue un préchargement de la CRL même si celle en cache n’a pas encore expiré. À ce jour, il n’existe aucun moyen de forcer ou de relancer manuellement le téléchargement de la liste de révocation des certificats.
Note
Microsoft Entra ID vérifie la liste de révocation des certificats (CRL) de l'autorité de certification émettrice ainsi que des autres autorités de certification présentes dans la chaîne de confiance PKI, jusqu'à l'autorité de certification racine. Nous avons une limite allant jusqu’à 10 autorités de certification du certificat de nœud terminal pour la validation de la liste de révocation de certificats dans la chaîne PKI. La limitation vise à s'assurer qu'un mauvais acteur ne mettra pas le service hors service en téléchargeant une chaîne PKI avec un grand nombre d'autorités de certification et une taille de liste de révocation de certificats plus importante. Si la chaîne PKI du locataire comporte plus de 10 autorités de certification et qu'il y a une compromission, les administrateurs de la politique d'authentification doivent supprimer de la configuration du locataire Microsoft Entra l'autorité de certification approuvée compromise. Pour plus d’informations, consultez pré-récupération de la liste de révocation de certificats (CRL).
Guide pratique pour configurer la révocation
Pour révoquer un certificat client, Microsoft Entra ID extrait la liste de révocation de certificats (CRL) des URL chargées dans le cadre des informations de l’autorité de certification et les met en cache. L’horodateur de la dernière publication (propriétéEffective Date ) dans la liste de révocation de certificat permet de vérifier si la CRL est toujours valide. La CRL est référencée périodiquement pour révoquer l’accès à des certificats qui font partie de la liste.
Révocation immédiate des sessions avec Entra CBA
Il existe de nombreux scénarios qui peuvent exiger qu’un administrateur révoque immédiatement tous les jetons de session afin que tous les accès d’un utilisateur soient révoqués. Ces scénarios incluent notamment
- comptes compromis
- licenciement de l’employé
- Panne Entra où les informations d’identification mises en cache sont utilisées qui n'inclut pas la validation de la liste de révocation de certificats (CRL)
- autres menaces internes.
Si une révocation plus instantanée est requise (par exemple, si un utilisateur perd un appareil), le jeton d’autorisation de l’utilisateur peut être invalidé. Pour invalider le jeton d’autorisation, définissez le champ StsRefreshTokensValidFrom pour cet utilisateur particulier à l’aide de Windows PowerShell. Vous devez mettre à jour le champ StsRefreshTokensValidFrom pour chaque utilisateur pour lequel vous souhaitez révoquer l’accès.
Pour vous assurer que la révocation persiste, vous devez définir la date d’effet de la liste de révocation de certificats sur une date après la valeur définie par StsRefreshTokensValidFrom et vérifier que le certificat en question se trouve dans la liste de révocation de certificats.
Les étapes suivantes décrivent le processus de mise à jour et d’invalidation du jeton d’autorisation en définissant le champ StsRefreshTokensValidFrom .
# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"
# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"
# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom
La date que vous définissez doit être dans le futur. Si la date n’est pas dans le futur, la propriété StsRefreshTokensValidFrom n’est pas définie. Si la date est dans le futur, la propriété StsRefreshTokensValidFrom est définie sur l’heure actuelle (et non la date indiquée par la commande Set-MsolUser).
Appliquer la validation de liste de révocation de certificats pour les autorités de certification
Lorsque vous téléchargez des autorités de certification dans le magasin d'approbations Microsoft Entra, vous n'avez pas besoin d'inclure une liste de révocation de certificats ou l'attribut CrlDistributionPoint. Vous pouvez charger une autorité de certification sans point de terminaison de liste de révocation de certificats et l’authentification par certificat ne échoue pas si une autorité de certification émettrice ne spécifie pas de liste de révocation de certificats.
Pour renforcer la sécurité et éviter les erreurs de configuration, un administrateur de stratégie d’authentification peut exiger l’échec de l’authentification CBA si une autorité de certification qui émet un certificat d’utilisateur final ne configure pas de liste de révocation de certificats.
Activer la validation CRL
Sélectionnez Exiger la validation de liste de révocation de certificats (recommandé) pour activer la validation de la liste de révocation de certificats.
Lorsque vous activez ce paramètre, l’authentification basée sur certificat échoue si le certificat de l’utilisateur final provient d’une autorité de certification qui n’émet pas de liste de révocation de certificats.
Un administrateur de stratégies d’authentification peut exempter une autorité de certification si sa liste de révocation de certificats rencontre des problèmes qui doivent être résolus. Sélectionnez Ajouter une exemption et choisissez les autorités de certification à exempter.
Les autorités de certification de la liste exemptée n’ont pas besoin de configurer une liste de révocation de certificats et les certificats de l’utilisateur final qu’ils émettent n’échouent pas à l’authentification.
Sélectionnez Autorités de certification, puis sélectionnez Ajouter. Utilisez la zone de texte Recherche pour filtrer les listes d’autorité de certification et sélectionner des autorités de certification spécifiques.
Guide pour la configuration des CRL (CRL de base et delta) pour Microsoft Entra ID
Publier des listes de révocation de certificats accessibles :
- Assurez-vous que votre autorité de certification publie à la fois la liste de révocation de certificats de base et les listes de révocation de certificats delta (le cas échéant) sur une URL accessible via HTTP.
- Microsoft Entra ID ne peut pas valider les certificats si les listes de révocation de certificats sont hébergées sur des serveurs internes uniquement. Les URL doivent être hautement disponibles, performantes et résilientes pour éviter les défaillances d’authentification en raison d’une indisponibilité.
- Validez l’accessibilité de la liste de révocation de certificats en testant l’URL de la liste de révocation de certificats dans un navigateur et en utilisant des -url certutil pour les vérifications de distribution.
Configurer les URL de liste de révocation de certificats (CRL) dans Microsoft Entra ID :
- Chargez le certificat public de l’autorité de certification sur Microsoft Entra ID et configurez les points de distribution de CRL (CDP).
- URL de liste de révocation de certificats de base : contient tous les certificats révoqués.
- URL de liste de révocation de certificats Delta (facultative mais recommandée) : contient des certificats révoqués depuis la dernière publication de la liste de révocation de certificats de base.
- Utilisez des outils tels que certutil pour vérifier la validité de la liste de révocation de certificats et résoudre les problèmes de certificat et de liste de révocation de certificats localement.
Définissez les périodes de validité :
- Définissez la période de validité du CRL de base suffisamment longue pour assurer l'équilibre entre la surcharge opérationnelle et la sécurité (généralement de quelques jours à quelques semaines).
- Définissez la période de validité de la CRL delta à plus courte durée (généralement 24 heures) pour permettre la reconnaissance en temps voulu des certificats révoqués.
- La validité plus courte des CRL delta améliore la sécurité en réduisant la fenêtre dans laquelle les certificats révoqués restent valides, mais elle augmente la charge d'émission et de distribution.
- La validité par défaut recommandée de 24 heures pour les listes de révocation de certificats delta sur les serveurs Windows est une norme largement acceptée pour la sécurité et les performances.
- Microsoft Entra ID est conçu pour gérer efficacement les mises à jour de liste de révocation de certificats delta fréquentes sans dégradation des performances, et les améliorations en cours permettent d’améliorer davantage cette situation.
- Microsoft Entra ID applique des mécanismes de limitation pour se protéger contre les attaques DDoS pendant les téléchargements de liste de révocation de certificats delta, ce qui peut entraîner des erreurs temporaires telles que « AADSTS2205013 » pour un petit sous-ensemble d’utilisateurs.
Garantir la haute disponibilité et les performances :
- Hébergez des listes de révocation de certificats sur des serveurs web fiables ou des réseaux de distribution de contenu (CDN) pour réduire les retards ou les échecs lors de la récupération.
- Surveiller de manière proactive la publication de la CRL et l'accessibilité.
Protégez-vous contre le throttling et les attaques par déni de service distribué (DDoS).
- Pour protéger les services et les utilisateurs de Microsoft Entra ID, la limitation est appliquée aux opérations de récupération de CRL lors d’une charge élevée ou d’un abus potentiel.
- Planifiez les cycles de publication et d’expiration de la liste de révocation de certificats pendant les heures creuses pour réduire la probabilité qu'un impact de limitation affecte les utilisateurs.
Gestion de la taille des CRL
- Conservez les charges utiles des listes de révocation de certificats aussi petites que possible, idéalement en émettant fréquemment des listes de révocation delta et en archivant les anciennes entrées, afin d'améliorer la vitesse de récupération et de réduire la bande passante.
Activer la validation CRL
- Appliquez la validation de la liste de révocation dans les stratégies Microsoft Entra ID pour vous assurer que les certificats révoqués sont détectés. Pour plus d’informations, consultez Activer la validation CRL.
- Envisagez le contournement temporaire de la vérification de la liste de révocation (CRL) uniquement en dernier recours pendant la résolution des problèmes, et comprenez les risques de sécurité associés.
Tester et surveiller
- Effectuez des tests réguliers pour vérifier que les listes de révocation de certificats sont téléchargeables et reconnues correctement par Microsoft Entra ID.
- Utilisez la surveillance pour détecter et corriger rapidement les problèmes de disponibilité ou de validation de la liste de révocation de certificats.
Référence d’erreur de liste de révocation de certificats
| Code d’erreur et message | Descriptif | Causes courantes | Recommendations |
|---|---|---|---|
| AADSTS500171 : le certificat a été révoqué. Contactez votre administrateur. | Le certificat est dans la CRL (Liste des certificats révoqués), ce qui indique qu'il a été révoqué. | Le certificat est révoqué par l’administrateur. | Si un certificat est inclus par erreur dans la liste de révocation de certificats, l’autorité de certification émettrice réédite la liste de révocation de certificats avec une liste mise à jour qui reflète précisément les révocations prévues. |
| AADSTS500172 : le certificat « {name} » émis par « {issuer} » n’est pas valide. Heure actuelle : « {curTime} ». Certificat NotBefore : « {startTime} ». Date d'expiration du certificat : « {endTime} ». | La CRL n’est pas valide dans les délais. | Les listes de révocation de certificats ou les listes de révocation de certificats delta utilisées pour valider le certificat présentent des problèmes de minutage, tels que les listes de révocation de certificats expirées ou les heures de publication/validité incorrectement configurées. | - Vérifiez que les dates NotBefore et NotAfter du certificat englobent correctement l’heure actuelle. - Vérifiez que les listes CRL de base et delta publiées par votre autorité de certification ne sont pas expirées. |
| AADSTS500173 : >Impossible de télécharger une liste de révocation de certificats (CRL). Code d’état non valable {code} à partir du point de distribution de la liste de révocation de certificats. Contactez votre administrateur. | La liste de révocation de certificats n’a pas pu être téléchargée en raison de problèmes de point de terminaison réseau. | - Le point de terminaison de la liste de révocation de certificats retourne des erreurs HTTP (telles que 403) - La liste de révocation de certificats a expiré sans mise à jour |
- Confirmer que le point de terminaison de liste de révocation de certificats retourne des données valides - Vérifier que l’autorité de certification publie régulièrement les listes de révocation de certificats (CRL) mises à jour - L'URL de la liste de révocation de certificats (CRL) est inaccessible en raison de problèmes réseau, de blocage de pare-feu ou de panne du serveur. - Activez le système de repli CRL pour bloquer les certificats non vérifiables. |
| AADSTS500174 : Impossible de construire une liste de révocation de certificats valide (CRL) à partir de la réponse. | Microsoft Entra ID ne peut pas analyser ni utiliser la liste de révocation de certificats récupérée à partir du point de distribution spécifié. | - L'URL de la liste de révocation de certificats (CRL) est inaccessible en raison de problèmes réseau, de blocage de pare-feu ou de panne du serveur. - Le fichier de liste de révocation de certificats téléchargé est endommagé, incomplet ou mal mis en forme. - Les URL des champs CDP du certificat ne pointent pas vers des fichiers de liste de révocation de certificats valides ou sont mal configurées. |
- Vérifiez l’accessibilité, la validité et l’intégrité de la liste de révocation de certificats. Inspectez le fichier de liste de révocation de certificats afin de vérifier une éventuelle corruption ou un contenu incomplet. |
| AADSTS500175 : échec de la vérification de la révocation, car la liste de révocation de certificats (CRL) d’un certificat dans la chaîne est manquante. | Lors de la vérification de la révocation de certificats, Microsoft Entra n'a pas pu localiser un segment ou une partie requis de la liste de révocation de certificats (CRL). | - Le fichier de liste de révocation de certificats téléchargé à partir du point de distribution de liste de révocation de certificats (CDP) est endommagé ou tronqué. - Publication incorrecte ou incomplète de la liste de révocation de certificats (CRL) par l’autorité de certification. - Problèmes réseau provoquant des téléchargements de listes de révocation de certificats incomplets ou ayant échoué. - Configuration incorrecte des URL ou des segments de fichiers des points de distribution de la liste de révocation de certificats (CRL). |
- Vérifier l’intégrité de la CRL - Republier ou régénérer la liste de révocation de certificats - Vérifier les paramètres réseau et proxy - Assurer une configuration CDP correcte sur toutes les autorités de certification |
| AADSTS500176 : l’autorité de certification qui a émis votre certificat n’a pas été configurée dans le locataire. Contactez votre administrateur. | Microsoft Entra n'a pas pu localiser le certificat d'autorité de certification émettrice dans son magasin de certificats approuvé. Cela empêche la validation réussie de la chaîne d’approbation du certificat utilisateur. | - Le certificat d'autorité de certification émettrice (racine ou intermédiaire) n'est pas chargé ou configuré dans la liste des certificats approuvés Microsoft Entra ID. - La chaîne de certificats stockée sur le client ou l’appareil ne lie pas correctement à un certificat d’autorité de certification approuvé. - Références d’identificateur de clé d’objet (SKI) et d’identificateur de clé d’autorité (AKI) incompatibles ou manquantes dans la chaîne de certificats. - Le certificat émetteur peut être expiré, révoqué ou non valide. |
- L'administrateur client doit charger tous les certificats racine et intermédiaire pertinents d'autorité de certification dans le magasin de certificats approuvé de Microsoft Entra via le centre d'administration Microsoft Entra. - Vérifiez que le SKI (Identifiant Clé de l'Émetteur) du certificat d’autorité de certification émettrice correspond à l'AKI dans le certificat de l’utilisateur pour garantir une liaison de chaîne appropriée. - Utilisez des outils tels que certutil ou OpenSSL pour vérifier que la chaîne de certificats complète est intacte, non interrompue et approuvée. - Remplacez les certificats d’autorité de certification expirés ou révoqués dans le magasin approuvé pour maintenir la validité de la chaîne. |
| AADSTS500177 : Liste de révocation de certificats (CRL) mal configurée. Le point de distribution de la CRL delta est configuré sans point de distribution de CRL de base correspondant. Contactez votre administrateur. | Indique que votre configuration d’autorité de certification inclut un point de distribution Delta CRL, mais que le point de distribution Base CRL correspondant est manquant ou n'est pas configuré correctement. | - Les points de distribution des listes de révocation de certificats configurés dans les certificats ou les paramètres de l’autorité de certification ne sont pas valides, inaccessibles ou contiennent des URL incorrectes. - L’autorité de certification n’a pas publié la liste de révocation de certificats correctement ou la liste de révocation de certificats a expiré, ce qui provoque des échecs de validation. - Les appareils ou les services Microsoft Entra ID ne peuvent pas accéder aux URL de liste de révocation de certificats en raison de règles de pare-feu, de restrictions de proxy ou de problèmes de connectivité réseau. - Paramètres mal configurés dans Microsoft Entra ou l’autorité de certification émettrice liée à la gestion de la liste de révocation de certificats. |
- Confirmez et mettez à jour les points de distribution de liste de révocation de certificats vers les URL exactes et accessibles publiquement. - Assurez-vous que les listes de révocation de certificats sont publiées et renouvelées régulièrement avant leur expiration. Automatisez la publication du CRL si possible. - Autorisez le trafic réseau nécessaire vers les points de distribution de liste de révocation de certificats en mettant à jour les règles de pare-feu, de proxy ou d’appareil de sécurité. - Vérifiez les CRLs téléchargées pour corruption ou troncation, puis republiez si nécessaire. - Vérifiez Microsoft Entra ID et les configurations d’autorité de certification liées à la publication de la liste de révocation de certificats (CRL), les URLs et les stratégies de validation. |
| AADSTS500178 : Impossible de récupérer des segments valides de la liste de révocation de certificats pour {type}. Réessayez plus tard. | Microsoft Entra ID ne parvient pas à télécharger ou traiter tous les segments requis de la liste de révocation de certificats pendant la validation du certificat. | - La liste de révocation de certificats (CRL) est publiée en plusieurs segments, et un ou plusieurs d'entre eux manquent, sont endommagés ou inaccessibles. - Les restrictions réseau ou les pare-feu bloquent l’accès à un ou plusieurs segments de liste de révocation de certificats. - Les segments de liste de révocation de certificats disponibles peuvent avoir expiré ou ne sont pas correctement mis à jour. - URL incorrectes ou entrées manquantes dans les points de distribution de la CRL où les segments sont hébergés. |
- Téléchargez manuellement tous les segments de liste de révocation de certificats à partir de leurs points de distribution et vérifiez l’exhaustivité et la validité. - Vérifiez que toutes les URL des segments des CRL sont correctement configurées et accessibles. Mettez à jour les certificats ou les configurations d’autorité de certification si les URL CDP ont changé. - Vérifiez que l’autorité de certification publie et gère correctement tous les segments de liste de révocation de certificats sans altération ni parties manquantes. |
| AADSTS500179 : la validation de la liste de révocation de certificats a expiré. Réessayez plus tard. | Le téléchargement de la liste de révocation de certificats a pris trop de temps ou a été interrompu. | - La taille de la liste de révocation de certificats dépasse les limites définies - Latence du réseau ou instabilité |
- Conserver la taille du CRL inférieure à 20 Mo (Azure commercial) ou 45 Mo (Azure pour le gouvernement américain) - Définir Next Update l’intervalle sur au moins une semaine- Surveillez les performances de téléchargement de la CRL (liste de révocation de certificats) en utilisant les journaux de connexion. |
| AADSTS500183 : le certificat a été révoqué. Contactez votre administrateur | Une tentative d’authentification a échoué, car l’appareil client a présenté un certificat révoqué par l’autorité de certification émettrice. | Le certificat utilisé pour l’authentification se trouve dans la liste de révocation de certificats (CRL) ou marqué comme révoqué par l’autorité de certification. | - L’administrateur du locataire doit s’assurer que le nouveau certificat est correctement approvisionné et approuvé par Microsoft Entra ID. - Vérifiez que les listes de révocation de certificats (CRLs) et les listes de révocation de certificats delta publiées par votre autorité de certification sont à jour et accessibles pour les dispositifs. |
| AADSTS2205011 : la liste de révocation de certificats téléchargée (CRL) n’est pas au format d’encodage ASN.1 valide. Contactez votre administrateur. | Le fichier de liste de révocation de certificats (CRL) extrait par Microsoft Entra n'est pas correctement encodé selon la norme ASN.1 (Abstract Syntax Notation One) des Règles de codage distinguées (DER), ce qui est requis pour analyser et valider les données de la liste de révocation. | **
- Le fichier CRL est endommagé ou tronqué pendant la publication ou la transmission. - La liste de révocation de certificats a été générée ou codée de manière incorrecte par l’autorité de certification et n’est pas conforme aux normes ASN.1 DER. - Les conversions de format de fichier (telles que l’encodage base64/PEM incorrect) ont endommagé les données de la liste de révocation de certificats. |
- Téléchargez manuellement la liste de révocation de certificats (CRL) et examinez-la avec des outils tels que openssl ou des analyseurs ASN.1 spécialisés pour confirmer si elle est endommagée ou mal formée. - Régénérer et republier la liste de révocation de certificats (CRL) à partir de l'autorité de certification (CA) en veillant à la conformité aux normes d'encodage DER ASN.1. - Assurez-vous que les logiciels ou outils d’autorité de certification générant des listes de révocation de certificats sont conformes à RFC 5280 et encodent correctement les listes de révocation de certificats au format ASN.1 DER. |
| AADSTS2205012 : la tentative de téléchargement de la liste de révocation de certificats à partir de « {uri} » pendant la connexion interactive a expiré. Nous essayons de télécharger à nouveau. Réessayez en quelques minutes. | Microsoft Entra ID n'a pas pu récupérer le fichier de liste de révocation de certificats dans le délai prévu à partir de l'URL spécifiée. | - Les services Microsoft Entra ID ne peuvent pas atteindre le point de distribution de la liste de révocation de certificats à cause d'une panne réseau, de restrictions de pare-feu ou de défaillances DNS. - Le serveur hébergeant la liste de révocation de certificats est en panne, surchargé ou ne répond pas en temps voulu. - Les CRLs volumineux prennent plus de temps à télécharger, ce qui peut entraîner des expirations. |
- Utilisez des listes de révocation de certificats delta pour réduire les tailles de fichiers de liste de révocation de certificats et les actualiser plus fréquemment pour réduire le temps de téléchargement. - Publiez ou actualisez les listes de révocation de certificats pendant les heures creuses pour réduire la charge du serveur et améliorer les temps de réponse. - Surveillez et gérez la haute disponibilité et les performances des serveurs CRL. |
| AADSTS2205013 : le téléchargement de la liste de révocation de certificats (CRL) est en cours. Réessayez en quelques minutes. | Se produit lorsque plusieurs tentatives d’authentification déclenchent simultanément des téléchargements de liste de révocation de certificats et que le système traite toujours la récupération de la liste de révocation de certificats actuelle. | - Lorsqu’une liste de révocation de certificats expire ou est sur le point d’expirer, plusieurs utilisateurs se connectant simultanément peuvent provoquer des tentatives simultanées de téléchargement de la nouvelle liste de révocation de certificats. - Microsoft Entra ID applique un mécanisme de verrouillage pour éviter les téléchargements simultanés de la même liste de révocation de certificats, afin de réduire la charge et les conditions de course potentielles. Cela provoque le refus temporaire de certaines demandes d'authentification, accompagnées d'un message indiquant de réessayer. - Les grandes populations d’utilisateurs ou les rafales de connexion lourdes peuvent augmenter la fréquence de cette erreur. |
- Laissez quelques minutes pour que le téléchargement en cours de la liste de révocation de certificats se termine avant de réessayer de vous connecter. - Vérifiez que les listes de révocation de certificats sont publiées et mises à jour régulièrement avant l’expiration pour réduire les re-téléchargements forcés. |
| AADSTS2205014 :La tentative de téléchargement de la liste de révocation de certificats à partir de « {uri} » pendant la connexion interactive a dépassé la taille maximale autorisée ({size} octets). La liste de révocation de certificats est configurée avec la limite de téléchargement du service de la liste de révocation de certificats, réessayez en quelques minutes. | Le fichier CRL que Microsoft Entra ID a tenté de télécharger est supérieur à la taille limite définie par le service. Microsoft Entra tentera de télécharger en tâche de fond avec des limites plus élevées. | - Le fichier de liste de révocation de certificats publié par l’autorité de certification est trop volumineux, souvent en raison d’un nombre élevé de certificats révoqués. - Les listes de révocation de certificats de taille importante peuvent se produire si les certificats révoqués ne sont pas supprimés ou si l’autorité de certification conserve des périodes d'expiration longues pour les données de révocation. - Les tailles de liste de révocation de certificats volumineuses augmentent les temps de téléchargement et la consommation des ressources pendant l’authentification basée sur les certificats. |
- Supprimez les certificats obsolètes ou expirés révoqués de la base de données d’autorité de certification. - Raccourcissez les périodes de validité de la liste de révocation de certificats et augmentez la fréquence de publication pour maintenir les tailles de liste de révocation de certificats gérables. - Implémentez des CRLs delta pour distribuer uniquement les informations de révocation incrémentielles et réduire la bande passante. |
| AADSTS2205015 : la validation de signature de la liste de révocation de certificats (CRL) a échoué. L’identifiant de clé de sujet attendu {expectedSKI} ne correspond pas à l’identifiant de clé d’autorité {crlAK} de la CRL. Contactez votre administrateur. | La signature de chiffrement sur la liste de révocation de certificats n'a pas pu être validée, car la liste de révocation de certificats a été signée par un certificat dont l'identificateur de clé d'objet (SKI) ne correspond pas à l'identificateur de clé d'autorité (AKI) attendu par Microsoft Entra ID. | - Le certificat d’autorité de certification utilisé pour signer la liste de révocation de certificats a changé, mais le nouveau SKI n’a pas été mis à jour ou synchronisé dans la liste des certificats approuvés. - La liste de révocation de certificats est obsolète ou incompatible en raison d’une mauvaise configuration dans la hiérarchie PKI. - Certificats d’autorité de certification intermédiaire incorrects ou manquants dans la liste des certificats approuvés. - Le certificat de signature de la CRL peut ne pas avoir l'utilisation de clé appropriée pour la signature des CRL. |
- Vérifiez l’identificateur de clé d’objet (SKI) du certificat d’autorité de certification qui signe la liste de révocation de certificats correspond à l’identificateur de clé d’autorité (AKI) dans la liste de révocation de certificats. - Vérifiez que le certificat d’autorité de certification de signature est chargé et approuvé dans Microsoft Entra ID. - Vérifiez que le certificat d’autorité de certification utilisé pour signer la LRC a les indicateurs d’utilisation de clés appropriés activés (comme la signature de la LRC) et vérifiez que la chaîne de certificats est intacte et ininterrompue. - Chargez ou mettez à jour les certificats d’autorité de certification racine et intermédiaire corrects dans la liste des autorités de certification approuvées de Microsoft Entra ID et vérifiez que le certificat utilisé pour signer la liste de révocation de certificats est inclus et correctement configuré. |
| AADSTS7000214 : le certificat a été révoqué. | Le certificat a été révoqué. | - Certificat répertorié dans la liste de révocation de certificats | - Remplacer le certificat révoqué - Examiner la raison de révocation avec l’autorité de certification - Surveiller le cycle de vie et le renouvellement des certificats |
Questions fréquemment posées
Ces sections suivantes couvrent les questions et réponses courantes relatives aux listes de révocation de certificats.
Existe-t-il une limite pour la taille de la liste de révocation de certificats ?
Les limites de taille de liste de révocation de certificats suivantes s’appliquent :
- Limite de téléchargement de connexion interactive : 20 Mo (Azure Global inclut GCC), 45 Mo pour Azure US Government (inclut GCC High, Dept. of Defense)
- Limite de téléchargement du service : 65 Mo (Azure Global inclut GCC), 150 Mo pour (Azure gouvernement américain, inclut GCC High, Dept. of Defense)
En cas d’échec du téléchargement d’une liste de révocation de certificats, le message suivant s’affiche :
« La liste de révocation de certificats téléchargée à partir de {uri} a dépassé la taille maximale autorisée ({size} octets) pour les listes de révocation de certificats dans Microsoft Entra ID. Réessayez dans quelques minutes. Si le problème persiste, contactez les administrateurs de votre locataire. »
Le téléchargement reste en arrière-plan avec des limites plus élevées.
Nous examinons l’impact de ces limites et prévoyons de les supprimer.
Je vois un ensemble de points de terminaison d’une liste de révocation de certificats valide (CRL), mais pourquoi ne vois-je pas la révocation de CRL ?
- Assurez-vous que le point de distribution de CRL est défini sur une URL HTTP valide.
- Assurez-vous que le point de distribution CRL est accessible via une URL sur Internet.
- Assurez-vous que les tailles de liste de révocation de certificats sont dans les limites.
Comment révoquer instantanément un certificat ?
Suivez les étapes pour révoquer manuellement un certificat.
Comment puis-je activer ou désactiver la vérification de révocation de certificats pour une autorité de certification particulière ?
Nous vous recommandons de désactiver la vérification de la liste de révocation de certificats (CRL), car vous ne pourrez pas révoquer de certificats. Toutefois, si vous devez examiner les problèmes liés à la vérification de la liste de révocation de certificats, vous pouvez exempter une autorité de certification de la vérification de la liste de révocation de certificats dans le centre d’administration Microsoft Entra. Dans la stratégie de méthodes d’authentification CBA, sélectionnez Configurer , puis ajoutez une exemption. Choisissez l’autorité de certification que vous souhaitez exempter, puis sélectionnez Ajouter.
Une fois qu’un point d'accès de liste de révocation de certificats est configuré, les utilisateurs finaux ne peuvent pas se connecter et voient « AADSTS500173 : Impossible de télécharger la liste de révocation de certificats. Code d’état non valide Interdit à partir du point de distribution de la liste de révocation de certificats.
Lorsqu’un problème empêche Microsoft Entra de télécharger la liste de révocation de certificats, la cause est souvent des restrictions de pare-feu. Dans la plupart des cas, vous pouvez résoudre le problème en mettant à jour les règles de pare-feu pour autoriser les adresses IP requises afin que Microsoft Entra puisse télécharger la liste de révocation de certificats (CRL). Pour plus d'informations, consultez Télécharger les plages d’adresses IP Azure et les balises de service – Cloud Public depuis le Centre de téléchargement Microsoft.
Comment trouver la liste de révocation de certificats (CRL) pour une autorité de certification, ou comment résoudre l'erreur « AADSTS2205015 : La validation de la signature de la liste de révocation de certificats (CRL) a échoué » ?
Téléchargez la liste de révocation de certificats et comparez le certificat d’autorité de certification et les informations de liste de révocation de certificats pour vérifier que la crlDistributionPoint valeur est valide pour l’autorité de certification que vous souhaitez ajouter. Vous pouvez configurer la liste de révocation de certificats sur l'autorité de certification concernée en faisant correspondre l'identificateur de clé de sujet (SKI) de l'autorité de certification à l'identificateur de clé d'autorité (AKI) de la liste de révocation de certificats (CA Issuer SKI == CRL AKI).
Le tableau et la figure suivants montrent comment mapper les informations du certificat CA vers les attributs de la CRL téléchargée.
| Informations sur le certificat d’autorité de certification | = | Informations de la liste de révocation de certificats téléchargée |
|---|---|---|
| Sujet | = | Issuer |
| Identificateur de clé d’objet (SKI) | = | Identificateur de la clé de l’autorité (KeyID) |
Étapes suivantes
- Vue d'ensemble de Microsoft Entra CBA
- Guide pratique pour configurer Microsoft Entra CBA
- Microsoft Entra CBA sur les appareils iOS
- Microsoft Entra CBA sur les appareils Android
- Connexion par carte à puce Windows à l’aide de Microsoft Entra CBA
- ID des utilisateurs du certificat
- Comment migrer des utilisateurs fédérés
- FORUM AUX QUESTIONS
- Résoudre les problèmes d’authentification basée sur les certificats Microsoft Entra