Lista de Revogação de Certificados (CRL) de autenticação baseada em certificado do Microsoft Entra

Uma CRL (Lista de Revogação de Certificados) é uma lista de certificados que foram revogados pela AC (Autoridade de Certificação) emissora antes da data de validade agendada. As CRLs são essenciais para manter a integridade da autenticação. Quando um certificado é revogado, ele é marcado como não confiável, mesmo que não tenha expirado. A incorporação de CRLs na autenticação baseada em certificado garante que apenas certificados válidos e não revogados sejam aceitos e Microsoft Entra ID bloqueia qualquer tentativa usando um certificado revogado.

As CRLs são assinadas digitalmente pela AC e publicadas em locais publicamente acessíveis, permitindo que sejam baixadas pela Internet para verificar o status de revogação dos certificados. Quando um cliente apresenta um certificado para autenticação, o sistema verifica a CRL para determinar se o certificado foi revogado.

Se o certificado for encontrado na CRL, a tentativa de autenticação será rejeitada. As CRLs geralmente são atualizadas periodicamente e as organizações devem garantir que tenham a versão mais recente da CRL para tomar decisões precisas sobre a validade do certificado.

Em Microsoft Entra CBA (autenticação baseada em certificado), quando as CRLs são configuradas, o sistema deve recuperar e validar a CRL durante a autenticação. Se o Microsoft Entra ID não puder acessar o ponto de extremidade da CRL, a autenticação falhará porque a CRL é necessária para confirmar a validade do certificado.

Como uma CRL funciona na autenticação baseada em certificado

Uma CRL funciona fornecendo um mecanismo para verificar a validade dos certificados usados para autenticação. O processo envolve várias etapas principais:

Emissão de certificado: Quando um certificado é emitido por uma AC, ele é válido até a data de validade, a menos que seja revogado anteriormente. Cada certificado contém uma chave pública e é assinado pela AC.
Revogação: Se um certificado precisar ser revogado (por exemplo, se a chave privada estiver comprometida ou se o certificado não for mais necessário), a AC o adicionará à CRL.
Distribuição de CRL: A AC publica a CRL em um local acessível por clientes, como um servidor Web ou um serviço de diretório. A CRL normalmente é assinada pela AC para garantir sua integridade. Se a CRL não for assinada pela AC, um erro de criptografia AADSTS2205015 será gerado e siga as etapas nas perguntas frequentes para solucionar o problema.
Verificação do cliente: Quando um cliente apresenta um certificado para autenticação, o sistema recupera a CRL para cada AC na cadeia de certificados de seus locais publicados e verifica se há CAs revogadas. Se qualquer local de CRL não estiver disponível, a autenticação falhará porque o sistema não poderá verificar o status de revogação do certificado.
Autenticação: Se o certificado for encontrado na CRL, a tentativa de autenticação será rejeitada e o cliente será negado acesso. Se o certificado não estiver na CRL, a autenticação continuará normalmente.
Atualizações de CRL: A CRL é atualizada periodicamente pela AC e os clientes devem garantir que tenham a versão mais recente para tomar decisões precisas sobre a validade do certificado. O sistema armazena em cache a CRL por um determinado período para reduzir o tráfego de rede e melhorar o desempenho, mas também verifica se há atualizações regularmente.

Noções básicas sobre o processo de revogação de certificado em Microsoft Entra autenticação baseada em certificado

O processo de revogação de certificado permite que os Administradores de Política de Autenticação revoguem um certificado emitido anteriormente para que ele não possa ser usado para autenticação futura.

Os Administradores de Política de Autenticação configuram o ponto de distribuição de CRL durante o processo de instalação para emissores confiáveis no locatário do Microsoft Entra. Cada emissor confiável deve ter uma CRL que você pode referenciar usando uma URL voltada para a Internet. Para obter mais informações, consulte Configurar autoridades de certificação.

O Microsoft Entra ID dá suporte apenas a um ponto de extremidade CRL e dá suporte apenas a HTTP ou HTTPS. É recomendável usar HTTP em vez de HTTPS para distribuição de CRL. As verificações de CRL ocorrem durante a autenticação baseada em certificado e qualquer atraso ou falha na recuperação da CRL pode bloquear a autenticação. O uso de HTTP minimiza a latência e evita possíveis dependências circulares causadas por HTTPS (o que por si só requer validação de certificado). Para garantir a confiabilidade, hospede CRLs em HTTP pontos de extremidade altamente disponíveis e verifique se eles estão acessíveis pela internet.

Importante

O tamanho máximo de uma CRL para que o Microsoft Entra ID faça o download com sucesso durante uma autenticação interativa é de 20 MB no Microsoft Entra ID público e 45 MB nas nuvens do Azure US Government. O tempo necessário para baixar a CRL não deve exceder 10 segundos. Se Microsoft Entra ID não puder baixar uma CRL, as autenticações baseadas em certificado usando certificados emitidos pela AC correspondente falharão. Como prática recomendada para manter arquivos CRL dentro dos limites de tamanho, mantenha os tempos de vida do certificado dentro de limites razoáveis e limpe certificados expirados.

Quando um usuário executa uma entrada interativa com um certificado, Microsoft Entra ID baixa e armazena em cache a CRL (lista de certificados revogados) do cliente de sua autoridade de certificação para verificar se os certificados são revogados durante a autenticação do usuário. Microsoft Entra usa o atributo SubjectKeyIdentifier em vez de SubjectName para criar a cadeia de certificados. Quando as CRLs estão habilitadas, as configurações de PKI devem incluir os valores SubjectKeyIdentifier e Authority Key Identifier para garantir a verificação de revogação adequada.

SubjectKeyIdentifier fornece um identificador exclusivo e imutável para a chave pública do certificado, tornando-o mais confiável do que SubjectName, que pode alterar ou ser duplicado entre certificados. Esse atributo garante a criação precisa da cadeia e a validação consistente de CRL em ambientes PKI complexos.

Importante

Se um Administrador de Política de Autenticação ignorar a configuração da CRL, Microsoft Entra ID não executará nenhuma verificação de CRL durante a autenticação baseada em certificado do usuário. Esse comportamento pode ser útil para a solução de problemas inicial, mas não deve ser considerado para uso em produção.
- Somente CRL base: se apenas a CRL base estiver configurada, o Microsoft Entra ID a baixará e armazenará em cache até a próxima atualização. A autenticação falhará se a CRL tiver expirado e não puder ser atualizada devido a problemas de conectividade ou se o ponto de extremidade CRL não fornecer uma versão atualizada. O Microsoft Entra impõe estritamente o controle de versão de CRL: quando uma nova CRL é publicada, seu Número de CRL deve ser maior do que a versão anterior.
  
  O Número de CRL garante o versionamento monotônico, impedindo ataques de repetição em que uma CRL mais antiga possa ser reintroduzida para evitar verificações de revogação. Ao exigir que cada nova CRL tenha um número de versão mais alto, Microsoft Entra ID garante que os dados de revogação mais recentes sejam sempre usados.
- Base + CRL Delta: quando ambos estão configurados, ambos devem ser válidos e acessíveis. Se estiver ausente ou expirado, a validação do certificado falhará de acordo com os padrões rfc 5280.
A autenticação baseada em certificado do usuário falhará se uma CRL estiver configurada para o emissor confiável e Microsoft Entra ID não puder baixar a CRL devido a restrições de disponibilidade, tamanho ou latência. Essa limitação torna o ponto de extremidade da CRL um ponto único crítico de falha, reduzindo a resiliência na autenticação baseada em certificado do Microsoft Entra ID. Para atenuar esse risco, recomendamos o uso de soluções com alta disponibilidade que garantem a disponibilidade contínua para endpoints de CRL.
Se a CRL exceder o limite interativo de uma nuvem, a entrada inicial do usuário falhará com o seguinte erro:

The Certificate Revocation List (CRL) downloaded from {uri} has exceeded the maximum allowed size ({size} bytes) for CRLs in Microsoft Entra ID. Try again in few minutes. If the issue persists, contact your tenant administrators.
O Microsoft Entra ID tenta baixar a CRL sujeita aos limites por parte do serviço (65 MB no Microsoft Entra ID público e 150 MB no Azure para o governo dos EUA).
Os usuários podem repetir a autenticação após alguns minutos. Se o certificado do usuário for revogado e aparecer na CRL, a autenticação falhará.

Importante

A revogação de token para um certificado revogado não é imediata devido ao armazenamento em cache da lista de certificados revogados (CRL). Se uma CRL já estiver armazenada em cache, os certificados revogados recentemente não serão detectados até que o cache seja atualizado com uma CRL atualizada. As CRLs Delta normalmente incluem essas atualizações; portanto, a revogação entra em vigor quando a CRL Delta é carregada. Se as CRLs delta não forem usadas, a revogação dependerá do período de validade da CRL base. Os administradores devem revogar manualmente tokens somente quando a revogação imediata for crítica, como em cenários de alta segurança. Para obter mais informações, consulte Configurar revogação.
Não há suporte para OCSP (Protocolo de Status de Certificado Online) devido a motivos de desempenho e confiabilidade. Em vez de baixar a CRL em todas as conexões pelo navegador do cliente no OCSP, o Microsoft Entra ID baixa-a uma vez no primeiro login e a armazena em cache. Essa ação melhora o desempenho e a confiabilidade da verificação de CRL. Também indexamos o cache para que a pesquisa seja muito mais rápida a cada vez.
Se Microsoft Entra baixar com êxito a CRL, ela armazenará em cache e reutilizará a CRL para qualquer uso subsequente. Ele seguirá a Próxima data de atualização e, se disponível, a Próxima data de publicação da CRL (usada por ACs do Windows Server) no documento da CRL.
Se o certificado do usuário estiver listado como revogado na CRL, a autenticação do usuário falhará.

Importante

Devido à natureza dos ciclos de cache e publicação de CRL, é altamente recomendável que, caso haja uma revogação de certificado, você revogue também todas as sessões do usuário afetado no Microsoft Entra ID.
Microsoft Entra ID tenta obter previamente uma nova CRL do ponto de distribuição se o documento CRL armazenado em cache tiver expirado. Se a CRL tiver uma "Próxima data de publicação", o Microsoft Entra fará um pré-carregamento da CRL mesmo que a CRL no cache não tenha expirado. A partir de agora, não há como forçar ou repetir manualmente o download da CRL.

Observação

O Microsoft Entra ID verificará a CRL da AC emissora e outras ACs na cadeia confiável do PKI até a AC raiz. Temos um limite de até 10 ACs do certificado de cliente folha para validação da CRL na cadeia do PKI. A limitação visa garantir que um agente mal-intencionado não derrube o serviço carregando uma cadeia de PKI com um grande número de CAs e um CRL de tamanho maior. Se a cadeia de PKI do locatário tiver mais de 10 CAs e houver um comprometimento de uma CA, os Administradores de Política de Autenticação deverão remover o emissor confiável comprometido da configuração do locatário no Microsoft Entra. Para obter mais informações, consulte Busca prévia de CRL.

Como configurar a revogação

Para revogar um certificado de cliente, Microsoft Entra ID busca a CRL (lista de certificados revogados) das URLs carregadas como parte das informações da autoridade de certificação e o armazena em cache. O carimbo de data/hora da última publicação (propriedade Effective Date) na CRL é usado para garantir que a CRL continua sendo válida. A CRL é mencionada periodicamente para revogar o acesso a certificados que fazem parte da lista.

Revogação imediata de sessões com a Entra CBA

Há muitos cenários que podem exigir que um administrador revogue imediatamente todos os tokens de sessão para que todo o acesso a um usuário seja revogado. Esses cenários incluem

contas comprometidas
rescisão de funcionário
Interrupção no sistema Entra em que são usadas credenciais armazenadas em cache, o que não inclui a validação de CRL.
outras ameaças internas.

Se uma revogação mais imediata for necessária (por exemplo, se um usuário perder um dispositivo), o token de autorização do usuário poderá ser invalidado. Para invalidar o token de autorização, defina o campo StsRefreshTokensValidFrom para esse usuário específico usando Windows PowerShell. Você deve atualizar o campo StsRefreshTokensValidFrom para cada usuário para o qual deseja revogar o acesso.

Para garantir que a revogação persista, defina a Data Efetiva da CRL como uma data após o valor definido por StsRefreshTokensValidFrom e verifique se o certificado em questão está no CRL.

As etapas a seguir descrevem o processo para atualizar e invalidar o token de autorização definindo o campo StsRefreshTokensValidFrom .

# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"

# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"

# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom

A data definida deve estar no futuro. Se a data não estiver no futuro, a propriedade StsRefreshTokensValidFrom não será definida. Se a data estiver no futuro, StsRefreshTokensValidFrom será definido como a hora atual (não a data indicada pelo comando Set-MsolUser).

Impor a validação de CRL para CAs

Quando você carrega CAs no repositório de confiança Microsoft Entra, não é necessário incluir uma CRL ou o atributo CrlDistributionPoint. É possível enviar uma Autoridade Certificadora (AC) sem um ponto de extremidade de CRL, e a autenticação baseada em certificado não falhará se a AC emissora não especificar uma CRL.

Para fortalecer a segurança e evitar configurações incorretas, um Administrador de Política de Autenticação poderá exigir que a autenticação da CBA falhe se uma AC que emite um certificado de usuário final não configurar uma CRL.

Habilitar a validação de CRL

Selecione Exigir validação de CRL (recomendado) para habilitar a validação de CRL.

Quando você habilita essa configuração, a CBA falhará se o certificado do usuário final for proveniente de uma AC que não configure uma CRL.
Um Administrador de Política de Autenticação poderá isentar uma AC se sua CRL tiver problemas que precisam ser corrigidos. Selecione Adicionar Isenção e escolha todos os CAs a serem isentos.
As ACs na lista isenta não precisam configurar uma CRL e os certificados do usuário final que eles emitem não falham na autenticação.

Selecione CAs e selecione Adicionar. Use a caixa de texto Pesquisar para filtrar as listas de CA e selecionar CAs específicas.

Orientações para configurar CRLs (CRL base e delta) para Microsoft Entra ID

Publicar CRLs acessíveis:
- Certifique-se de que se a AC publica as CRLs base e as CRLs delta (se aplicável) para URLs voltadas para a Internet acessíveis via HTTP.
- Microsoft Entra ID não poderá validar certificados se as CRLs estiverem hospedadas em servidores somente internos. As URLs devem estar altamente disponíveis, com desempenho e resilientes para evitar falhas de autenticação devido à indisponibilidade.
- Valide a acessibilidade de CRL testando a URL da CRL em um navegador e usando o certutil -url para verificações de distribuição.
Configurar URLs de CRL no Microsoft Entra ID:
- Carregue o certificado público da Autoridade Certificadora para o Microsoft Entra ID e configure os pontos de distribuição de CRL (CDPs).
- URL de CRL base: contém todos os certificados revogados.
- URL de CRL Delta (opcional, mas recomendada): contém certificados revogados desde que a última CRL base foi publicada.
- Use ferramentas como o certutil para verificar a validade da CRL e solucionar problemas de certificado e CRL localmente.
Definir períodos de validade:
- Defina o período de validade da CRL base por tempo suficiente para equilibrar a sobrecarga operacional e a segurança (normalmente de dias a semanas).
- Defina o período de validade de CRL delta mais curto (geralmente 24 horas) para permitir o reconhecimento oportuno de certificados revogados.
- A validade mais curta do CRL delta melhora a segurança ao reduzir a janela em que os certificados revogados permanecem válidos, mas aumenta a carga de trabalho de emissão e distribuição.
- A validade padrão recomendada de 24 horas para CRLs delta em servidores Windows é um desempenho e segurança padrão amplamente aceitos.
- Microsoft Entra ID foi projetado para lidar com eficiência as atualizações frequentes de CRL delta sem degradação de desempenho, e melhorias contínuas ajudam a aprimorar isso ainda mais.
- O Microsoft Entra ID aplica mecanismos de limitação para proteger contra ataques de DDoS durante downloads de CRL delta, o que pode resultar em erros temporários como "AADSTS2205013" para um pequeno subconjunto de usuários.
Verifique a alta disponibilidade e o desempenho:
- Hospedar CRLs em servidores Web confiáveis ou CDNs (redes de distribuição de conteúdo) para minimizar atrasos ou falhas durante a recuperação.
- Proativamente, monitore a publicação e a acessibilidade de CRL.
Proteja contra limitação de largura de banda e ataques de negação de serviço distribuído (DDoS):
- Para proteger os serviços e usuários do Microsoft Entra ID, a limitação é aplicada às operações de busca de CRL durante alta demanda ou uso indevido.
- Agende ciclos de publicação e expiração de CRL durante o horário de pico para minimizar a probabilidade de limitação que afeta os usuários.
Gerenciamento de tamanho de CRL
- Mantenha as cargas de CRL tão pequenas quanto possível, idealmente pela emissão frequente de CRL delta e arquivamento de entradas antigas, para melhorar a velocidade de busca e reduzir a largura de banda.
Habilitar a validação de CRL
- Imponha a validação de CRL em políticas de Microsoft Entra ID para garantir que os certificados revogados sejam detectados. Para obter mais informações, consulte Habilitar validação de CRL.
- Considere desativar temporariamente a verificação de Listas de Revogação de Certificados (CRL) apenas como último recurso durante a solução de problemas, compreendendo os riscos de segurança envolvidos.
Testar e monitorar
- Execute testes regulares para verificar se as CRLs podem ser baixadas e reconhecidas corretamente por Microsoft Entra ID.
- Use o monitoramento para detectar e corrigir rapidamente quaisquer problemas de validação ou disponibilidade de CRL.

Referência de erro CRL

Código de erro e mensagem	Description	Causas comuns	Recommendations
AADSTS500171: o certificado foi revogado. Contate o administrador.	O certificado está na CRL, indicando que ele foi revogado.	O certificado é revogado pelo administrador.	Se um certificado for incluído erroneamente na CRL, solicite que a AC emissora reemita a CRL com uma lista atualizada que reflita com precisão as revogações pretendidas.
AADSTS500172: o certificado '{name}' emitido por '{issuer}' não é válido. Hora atual: '{curTime}'. Certificado NotBefore: '{startTime}'. Certificado NotAfter: "{endTime}".	A CRL não é válida dentro do prazo.	As CRLs ou CRLs delta usadas para validar o certificado têm problemas de tempo, como CRLs expiradas ou tempos de publicação/validade configurados incorretamente.	- Confirme se as datas NotBefore e NotAfter do certificado abrangem corretamente a hora atual. - Verifique se as CRLs base e delta publicadas pela AC não expiraram.
AADSTS500173: >Não é possível baixar uma CRL (Lista de Certificados Revogados). Código de status {code} inválido do ponto de distribuição CRL. Contate o administrador.	A CRL não pôde ser baixada devido a problemas de ponto de extremidade.	- O ponto de extremidade CRL retorna erros HTTP (como 403) - CRL expirada sem atualização	- Confirmar que o endpoint CRL retorna dados válidos – Verifique se a Autoridade Certificadora publica regularmente as listas de revogação de certificados (CRLs) atualizadas. - A URL de CRL está inacessível devido a problemas de rede, blocos de firewall ou tempo de inatividade do servidor. – Habilite o fail-safe da CRL para bloquear certificados não verificáveis.
AADSTS500174: não é possível construir CRL (Lista de Revogação de Certificados) válida com base na resposta.	Microsoft Entra ID não pode analisar nem usar a CRL recuperada do ponto de distribuição especificado.	- A URL de CRL está inacessível devido a problemas de rede, blocos de firewall ou tempo de inatividade do servidor. - O arquivo CRL baixado está corrompido, incompleto ou formatado incorretamente. - As URLs nos campos CDP do certificado não apontam para arquivos CRL válidos ou são configuradas incorretamente.	- Verifique a acessibilidade, a validade e a integridade da CRL. – Inspecione o arquivo CRL em busca de conteúdo corrompido ou incompleto.
AADSTS500175: falha na verificação de revogação porque a Lista de Revogação de Certificados (CRL) de um certificado na cadeia não foi encontrada.	Durante a verificação de revogação de certificado, o Microsoft Entra não conseguiu localizar um segmento ou parte necessário da Lista de Revogação de Certificados (CRL).	- O arquivo CRL baixado do CDP (Ponto de Distribuição de CRL) está corrompido ou truncado. - Publicação incorreta ou incompleta da CRL pela AC. - Problemas de rede que causam downloads de CRL incompletos ou com falha. - Configuração incorreta das URLs do ponto de distribuição de CRL ou segmentos de arquivo.	– Verificar a integridade da CRL - Republicar ou regenerar CRL - Verificar configurações de rede e proxy - Verifique a configuração correta do CDP em todos os CAs
AADSTS500176: a autoridade de certificação que emitiu seu certificado não foi configurada no locatário. Contate o administrador.	O Microsoft Entra não conseguiu localizar o certificado do CA emissor em seu armazenamento de certificados confiável. Isso impede a validação bem-sucedida da cadeia de confiança do certificado de usuário.	- O certificado da autoridade de certificação emissora (raiz ou intermediária) não é carregado ou configurado na lista de certificados confiáveis da Microsoft Entra ID. - A cadeia de certificados armazenada no cliente ou no dispositivo não se vincula corretamente a um certificado de autoridade de certificação confiável. - Referências de SKI (Identificador de Chave de Entidade) e AKI (Identificador de Chave de Autoridade) incompatíveis ou ausentes na cadeia de certificados. - O certificado emissor pode ter expirado, revogado ou inválido.	– O administrador do locatário deve carregar todos os certificados de autoridade de certificação raiz e intermediária relevantes para o repositório de certificados confiáveis do Microsoft Entra por meio da central de administração do Microsoft Entra. - Confirme se o SKI do certificado da autoridade certificadora emissora corresponde ao AKI no certificado do usuário para garantir a vinculação de cadeia adequada. – Use ferramentas como certutil ou OpenSSL para verificar se a cadeia de certificados completa está intacta, ininterrupta e confiável. - Substitua todos os certificados de AC expirados ou revogados no repositório confiável para manter a validade da cadeia.
AADSTS500177: CRL (Lista de Revogação de Certificados) configurada incorretamente. O ponto de distribuição de CRL Delta é configurado sem um ponto de distribuição de CRL base correspondente. Contate o administrador.	Indica que sua configuração de AC inclui um ponto de distribuição de CRL Delta, mas o ponto de distribuição de CRL Base correspondente está ausente ou não configurado corretamente.	- Os CDPs (pontos de distribuição de CRL) configurados nos certificados ou configurações de AC são URLs inválidas, inacessíveis ou incorretas. - A AC não publicou a CRL corretamente ou a CRL expirou, causando falhas de validação. - Dispositivos ou serviços de Microsoft Entra ID não podem acessar as URLs de CRL devido a regras de firewall, restrições de proxy ou problemas de conectividade de rede. - Configurações configuradas incorretamente no Microsoft Entra ou na Autoridade de Certificação emissora relacionadas ao tratamento de CRL.	- Confirme e atualize os pontos de distribuição de CRL para URLs precisas e acessíveis publicamente. – Verifique se as CRLs são publicadas e renovadas regularmente antes da expiração. Automatize a publicação da Lista de Revogação de Certificados, se possível. – Permitir o tráfego de rede necessário para pontos de distribuição de CRL atualizando regras de firewall, proxy ou dispositivo de segurança. - Verifique se há corrupção ou truncamento nas CRLs baixadas e republique se necessário. - Revise cuidadosamente as configurações de Microsoft Entra ID e CA relacionadas à publicação de CRL, URLs e políticas de validação.
AADSTS500178: não é possível recuperar segmentos crl válidos para {type}. Tente novamente mais tarde.	Microsoft Entra ID falha ao baixar ou processar todos os segmentos necessários da CRL (Lista de Certificados Revogados) durante a validação do certificado.	- A CRL é publicada em vários segmentos e um ou mais segmentos estão ausentes, corrompidos ou inacessíveis. - Restrições de rede ou firewalls bloqueiam o acesso a um ou mais segmentos de CRL. - Os segmentos de CRL disponíveis podem ter expirado ou não estão atualizados corretamente. - URLs incorretas ou entradas ausentes nos pontos de distribuição de CRL do certificado em que os segmentos estão hospedados.	– Baixe manualmente todos os segmentos de CRL de seus pontos de distribuição e verifique se há integridade e validade. – Verifique se todas as URLs do segmento de CRL estão configuradas corretamente e acessíveis. Atualize certificados ou configurações de AC se as URLs de CDP tiverem sido alteradas. - Confirme se a autoridade certificadora (AC) publica e mantém todos os segmentos da Lista de Revogação de Certificados (CRL) corretamente, sem partes corrompidas ou ausentes.
AADSTS500179: a validação de CRL atingiu o tempo limite. Tente novamente mais tarde.	O download de CRL atingiu o tempo limite ou foi interrompido.	- O tamanho da CRL excede os limites - Latência ou instabilidade de rede	- Manter o tamanho da CRL abaixo de 20 MB (Azure comercial) ou 45 MB (Azure para o governo dos EUA) - Definir `Next Update` intervalo como pelo menos uma semana – Monitorar o desempenho de download de CRL por meio de logs de entrada.
AADSTS500183: o certificado foi revogado. Entre em contato com o administrador	Falha na tentativa de autenticação porque o dispositivo cliente apresentou um certificado que foi revogado pela AC emissora.	O certificado usado para autenticação é encontrado na CRL (Lista de Revogação de Certificados) ou sinalizado como revogado pela AC.	– O Administrador de Locatários deve garantir que o novo certificado seja provisionado corretamente e seja confiável para o Microsoft Entra ID. - Verifique se as CRLs e as CRLs delta publicadas pela sua AC estão atualizadas e acessíveis para os dispositivos.
AADSTS2205011: A CRL (Lista de Revogação de Certificados) baixada não está em um formato de codificação ASN.1 válido. Contate o administrador.	O arquivo CRL obtido por Microsoft Entra não está codificado corretamente conforme o padrão ASN.1 (Abstract Syntax Notation One) Distinguished Encoding Rules (DER), que é necessário para fazer a análise e validação dos dados do CRL.	- O arquivo CRL está corrompido ou truncado durante a publicação ou transmissão. - A CRL foi gerada ou codificada incorretamente pela AC e não está em conformidade com os padrões DER do ASN.1. - Conversões de formato de arquivo (como codificação base64/PEM inadequada) corrompem os dados de CRL.	– Baixe manualmente o CRL e inspecione-o com ferramentas como analisadores ASN.1 especializados ou opensl para confirmar se ele está corrompido ou malformado. – Regenerar e republicar a CRL da AC, garantindo a conformidade com os padrões de codificação DER do ASN.1. - Verifique se o software ou as ferramentas de AC que geram CRLs estão em conformidade com o RFC 5280 e codificam corretamente os CRLs no formato ASN.1 DER.
AADSTS2205012: A tentativa de baixar a CRL (Lista de Certificados Revogados) de '{uri}' durante o login interativo excedeu o tempo limite. Estamos tentando baixar novamente. Tente novamente em alguns minutos.	Microsoft Entra ID não conseguiu recuperar o arquivo CRL no tempo esperado a partir da URL especificada.	- Microsoft Entra ID serviços não podem chegar ao ponto de distribuição de CRL devido a interrupções de rede, restrições de firewall ou falhas de DNS. - O servidor que hospeda a CRL está inativo, sobrecarregado ou não respondendo em tempo hábil. – CRLs grandes levam mais tempo para serem baixadas, potencialmente causando timeout.	– Use CRLs delta para manter os tamanhos de arquivo CRL menores e atualize com mais frequência para reduzir o tempo de download. - Publicar ou atualizar CRLs durante os horários fora de pico para reduzir a carga do servidor e melhorar os tempos de resposta. – Monitore e mantenha a alta disponibilidade e o desempenho dos servidores de hospedagem de CRL.
AADSTS2205013: O download da CRL (Lista de Certificados Revogados) está em andamento no momento. Tente novamente em alguns minutos.	Ocorre quando várias tentativas de autenticação acionam simultaneamente downloads de CRL e o sistema ainda está processando a recuperação de CRL atual.	- Quando uma CRL expira ou está prestes a expirar, vários usuários que se conectam simultaneamente podem causar tentativas simultâneas de baixar a nova CRL. - O Microsoft Entra ID aplica um mecanismo de bloqueio para impedir downloads simultâneos da mesma CRL para reduzir a carga e possíveis condições de corrida. Isso faz com que algumas solicitações de autenticação sejam temporariamente negadas com essa mensagem de repetição. - Grandes populações de usuários ou intermitências de entrada pesadas podem aumentar a frequência desse erro.	- Permitir alguns minutos para que o download de CRL em andamento seja concluído antes de tentar novamente a entrada. – Verifique se as CRLs são publicadas e atualizadas regularmente antes da expiração para reduzir os downloads forçados.
AADSTS2205014:A tentativa de baixar a CRL (Lista de Revogação de Certificados) de '{uri}' durante a entrada interativa excedeu o tamanho máximo permitido ({size} bytes). A CRL está sendo provisionada com o limite de download do serviço da CRL, tente novamente em alguns minutos.	O arquivo CRL que Microsoft Entra ID tentou baixar é maior que o limite de tamanho definido pelo serviço. Microsoft Entra tentará baixar em segundo plano com limites mais altos.	- O arquivo CRL publicado pela AC é muito grande, muitas vezes devido a um alto número de certificados revogados. - CRLs grandes podem ocorrer se os certificados revogados não forem limpos ou se a AC mantiver longos períodos de expiração para dados de revogação. - Tamanhos de CRL grandes aumentam os tempos de download e o consumo de recursos durante a autenticação baseada em certificado.	– Remova certificados revogados obsoletos ou expirados do banco de dados da AC. – Reduza os períodos de validade de CRL e aumente a frequência de publicação para manter os tamanhos de CRL razoáveis. - Implemente CRLs delta para distribuir apenas informações de revogação incremental e reduzir a largura de banda.
AADSTS2205015: falha na validação da assinatura da CRL (Lista de Revogação de Certificados). O SubjectKeyIdentifier {expectedSKI} esperado não corresponde ao AuthorityKeyIdentifier {crlAK}da CRL. Contate o administrador.	A assinatura criptográfica na CRL não pôde ser validada porque a CRL foi assinada por um certificado cujo Identificador de Chave de Entidade (SKI) não corresponde ao Identificador de Chave de Autoridade (AKI) esperado pelo Microsoft Entra ID.	- O certificado de AC usado para assinar a CRL foi alterado, mas o novo SKI não foi atualizado ou sincronizado na lista de certificados confiáveis. - A CRL está desatualizada ou incompatível devido à inconfiguração na hierarquia PKI. - Certificados de AUTORIDADES CERTIFICADORAS intermediárias incorretos ou ausentes na lista de certificados confiáveis. – É possível que o certificado de autenticação CRL não tenha o uso de chave apropriado para assinar CRLs.	- Verifique se o Identificador de Chave de Assunto (SKI) do certificado da AC que assina a CRL corresponde ao Identificador de Chave de Autoridade (AKI) na CRL. - Confirme se o certificado de autoridade de certificação de assinatura é carregado e confiável no Microsoft Entra ID. - Verifique se o certificado da AC usado para assinar a CRL possui os usos de chave apropriados habilitados (como assinatura de CRL) e verifique se a cadeia de certificados está intacta e ininterrupta. – Faça o upload ou atualize os certificados raiz e intermediários corretos na lista de autoridades certificadoras confiáveis do Microsoft Entra ID e verifique se o certificado usado para assinar a CRL está incluído e configurado corretamente.
AADSTS7000214: o certificado foi revogado.	O certificado foi revogado.	- Certificado listado em CRL	- Substituir certificado revogado - Investigar o motivo da revogação com a AC – Monitorar o ciclo de vida e a renovação do certificado

Perguntas frequentes

Estas próximas seções abordam perguntas e respostas comuns relacionadas às Listas de Revogação de Certificados.

Há um limite para o tamanho da CRL?

Os seguintes limites de tamanho da CRL se aplicam:

Limite de download de entrada interativo: 20 MB (Azure Global inclui GCC), 45 MB para (Azure US Government, inclui GCC High, Departamento de Defesa).
Limite de download de serviço: 65 MB (Azure Global inclui GCC), 150 MB para (Azure US Government, inclui GCC High, Departamento de Defesa).

Quando um download de CRL falhar, a seguinte mensagem será exibida:

A CRL (Lista de Certificados Revogados) baixada de {uri} excedeu o tamanho máximo permitido ({size} bytes) para listas de revogação de certificados no Microsoft Entra ID. Tente novamente em alguns minutos. Se o problema persistir, contate os administradores de locatários."

O download permanece em segundo plano com limites mais altos.

Estamos revisando o impacto desses limites e temos planos para removê-los.

Vejo um conjunto de pontos de extremidade de CRL (Lista de Certificados Revogados) válido, mas por que não vejo nenhuma revogação de CRL?

Verifique se o ponto de distribuição crl está definido como uma URL HTTP válida.
Verifique se o ponto de distribuição de CRL está acessível por meio de uma URL voltada para a Internet.
Verifique se os tamanhos de CRL estão dentro dos limites.

Como fazer para revogar instantaneamente um certificado?

Siga as etapas para revogar manualmente um certificado.

Como posso ativar ou desativar a verificação de revogação de certificado para uma determinada Autoridade Certificadora?

Recomendamos não desabilitar a verificação da CRL (lista de certificados revogados) porque você não poderá revogar certificados. No entanto, se for necessário investigar problemas com a verificação de CRL, você poderá isentar uma AC da verificação de CRL no centro de administração do Microsoft Entra. Na política de métodos de Autenticação da CBA, selecione Configurar e, em seguida, selecione Adicionar isenção. Escolha a AC que você deseja isentar e selecione Adicionar.

Quando um problema impede que Microsoft Entra baixe a CRL, a causa geralmente é restrições de firewall. Na maioria dos casos, você pode resolver o problema atualizando as regras de firewall para permitir os endereços IP necessários para que Microsoft Entra possa baixar a CRL com êxito. Para obter mais informações, consulte List of Microsoft IPAddress.

Como posso localizar a CRL de uma Autoridade Certificadora (AC) ou como solucionar o erro "AADSTS2205015: falha na validação da assinatura na Lista de Revogação de Certificados (CRL)"?

Baixe a CRL e compare o certificado de AC e as informações de CRL para validar se o crlDistributionPoint valor é válido para a AC que você deseja adicionar. Você pode configurar a CRL para a AC correspondente, correspondendo o SKI (identificador de chave de entidade do emissor) da AC ao identificador de chave de autoridade (AKI) da CRL (CA Issuer SKI == CRL AKI).

A tabela e a figura a seguir mostram como mapear informações do certificado de AC para os atributos da CRL baixada.

Informações sobre o certificado de autoridade certificadora	=	Informações baixadas do CRL
Assunto	=	Emissor
Identificador de Chave de Assunto (SKI)	=	Identificador de Chave de Autoridade (KeyID)

Captura de tela que compara campos de certificado de autoridade de certificação com informações de CRL.

Lista de Revogação de Certificados da CBA do Microsoft Entra

Próximas etapas

Comentários

Esta página foi útil?

Last updated on 2026-04-14