Lista de Revogação de Certificados (CRL) de autenticação baseada em certificados Microsoft Entra

Uma Lista de Revogação de Certificados (CRL) é uma lista de certificados que foram revogados pela Autoridade de Certificação (CA) emissora antes da data de expiração agendada. As CRLs são essenciais para manter a integridade da autenticação. Quando um certificado é revogado, ele é marcado como não confiável, mesmo que não tenha expirado. A incorporação de CRLs na autenticação baseada em certificados garante que apenas certificados válidos e não revogados são aceites, e o Microsoft Entra ID bloqueia qualquer tentativa usando um certificado revogado.

As CRLs são assinadas digitalmente pela autoridade de certificação e publicadas em locais acessíveis ao público, permitindo que sejam baixadas pela internet para verificar o status de revogação dos certificados. Quando um cliente apresenta um certificado para autenticação, o sistema verifica a CRL para determinar se o certificado foi revogado.

Se o certificado for encontrado na CRL, a tentativa de autenticação será rejeitada. As CRLs geralmente são atualizadas periodicamente, e as organizações devem garantir que tenham a versão mais recente da CRL para tomar decisões precisas sobre a validade do certificado.

Na autenticação baseada em certificados (CBA) do Microsoft Entra, quando as CRLs são configuradas, o sistema deve recuperar e validar a CRL durante a autenticação. Se o Microsoft Entra ID não conseguir aceder ao endpoint CRL, a autenticação falha porque a CRL é obrigada a confirmar a validade do certificado.

Como funciona uma CRL na autenticação baseada em certificado

Uma CRL funciona fornecendo um mecanismo para verificar a validade dos certificados usados para autenticação. O processo envolve várias etapas fundamentais:

Emissão de Certificados: Quando um certificado é emitido por uma autoridade de certificação, ele é válido até sua data de expiração, a menos que seja revogado antes. Cada certificado contém uma chave pública e é assinado pela autoridade de certificação.
Revogação: Se um certificado precisar ser revogado (por exemplo, se a chave privada estiver comprometida ou se o certificado não for mais necessário), a autoridade de certificação o adicionará à CRL.
Distribuição CRL: A autoridade de certificação publica a CRL em um local acessível pelos clientes, como um servidor Web ou um serviço de diretório. A CRL é normalmente assinada pela autoridade de certificação para garantir sua integridade. Se a CRL não estiver assinada pela autoridade de certificação, um AADSTS2205015 de erro de criptografia será lançado e siga as etapas em Perguntas frequentes para solucionar o problema.
Verificação do cliente: Quando um cliente apresenta um certificado para autenticação, o sistema recupera a CRL de cada autoridade de certificação na cadeia de certificados de seus locais publicados e verifica se há CAs revogadas. Se qualquer local de CRL não estiver disponível, a autenticação falhará porque o sistema não pode verificar o status de revogação do certificado.
Autenticação: Se o certificado for encontrado na CRL, a tentativa de autenticação será rejeitada e o acesso ao cliente será negado. Se o certificado não estiver na CRL, a autenticação prosseguirá normalmente.
Atualizações da CRL: A CRL é atualizada periodicamente pela autoridade de certificação e os clientes devem garantir que tenham a versão mais recente para tomar decisões precisas sobre a validade do certificado. O sistema armazena em cache a CRL por um determinado período para reduzir o tráfego de rede e melhorar o desempenho, mas também verifica se há atualizações regularmente.

Compreender o processo de revogação de certificados na autenticação baseada em certificados Microsoft Entra

O processo de revogação de certificado permite que os Administradores de Política de Autenticação revoguem um certificado emitido anteriormente para que ele não possa ser usado para autenticação futura.

Os Administradores da Política de Autenticação configuram o ponto de distribuição CRL durante o processo de configuração para emissores confiáveis no inquilino Microsoft Entra. Cada emissor confiável deve ter uma CRL que você possa referenciar usando uma URL voltada para a Internet. Para obter mais informações, consulte Configurar autoridades de certificação.

O Microsoft Entra ID suporta apenas um endpoint CRL e suporta apenas HTTP ou HTTPS. Recomendamos o uso de HTTP em vez de HTTPS para distribuição de CRL. As verificações de CRL ocorrem durante a autenticação baseada em certificado, e qualquer atraso ou falha na recuperação da CRL pode bloquear a autenticação. O uso de HTTP minimiza a latência e evita possíveis dependências circulares causadas pelo HTTPS (que por si só requer validação de certificado). Para garantir a fiabilidade, hospede os CRLs em pontos de extremidade HTTP altamente disponíveis e verifique se eles estão acessíveis pela internet.

Importante

O tamanho máximo de um CRL para o Microsoft Entra ID ser descarregado com sucesso num login interativo é de 20 MB no Microsoft Entra ID público e 45 MB nas clouds Azure US Government. O tempo necessário para fazer o download da CRL não deve exceder 10 segundos. Se o Microsoft Entra ID não conseguir descarregar uma CRL, as autenticações baseadas em certificados através de certificados emitidos pela respetiva CA falham. Como prática recomendada para manter os arquivos CRL dentro dos limites de tamanho, mantenha os tempos de vida dos certificados dentro de limites razoáveis e limpe os certificados expirados.

Quando um utilizador realiza um login interativo com um certificado, o Microsoft Entra ID descarrega e armazena em cache a lista de revogação de certificados (CRL) do cliente da sua autoridade certificadora para verificar se os certificados são revogados durante a autenticação do utilizador. A Microsoft Entra utiliza o atributo SubjectKeyIdentifier em vez do SubjectName para construir a cadeia de certificados. Quando as CRLs estão habilitadas, as configurações de PKI devem incluir os valores SubjectKeyIdentifier e Authority Key Identifier para garantir a verificação de revogação adequada.

SubjectKeyIdentifier fornece um identificador exclusivo e imutável para a chave pública do certificado, tornando-o mais confiável do que SubjectName, que pode ser alterado ou duplicado entre certificados. Esse atributo garante a construção precisa da cadeia e a validação consistente da CRL em ambientes PKI complexos.

Importante

Se um Administrador de Política de Autenticação ignorar a configuração do CRL, o Microsoft Entra ID não realiza quaisquer verificações CRL durante a autenticação baseada em certificados do utilizador. Esse comportamento pode ser útil para a solução de problemas inicial, mas não deve ser considerado para uso em produção.
- Apenas CRL base: Se apenas a CRL base estiver configurada, o Microsoft Entra ID descarrega-a e armazena-a em cache até à marca temporal da Próxima Atualização. A autenticação falha se a CRL estiver expirada e não puder ser atualizada por problemas de conectividade ou se o ponto de extremidade da CRL não fornecer uma versão atualizada. A Microsoft Entra aplica rigorosamente a versão CRL: quando uma nova CRL é publicada, o seu Número de CRL deve ser superior à versão anterior.
  
  O número de CRL garante um versionamento monotônico, evitando ataques de repetição em que uma CRL mais antiga poderia ser reintroduzida para ignorar as verificações de revogação. Ao exigir que cada nova CRL tenha um número de versão superior, o Microsoft Entra ID garante que os dados de revogação mais recentes são sempre utilizados.
- Base + CRL Delta: Quando ambos estão configurados, ambos devem ser válidos e acessíveis. Se um deles estiver ausente ou expirado, a validação do certificado falhará de acordo com os padrões RFC 5280.
A autenticação baseada em certificado de utilizador falha se um CRL for configurado para o emissor de confiança e o Microsoft Entra ID não puder descarregar o CRL, devido a restrições de disponibilidade, tamanho ou latência. Esta limitação faz do endpoint CRL um ponto único crítico de falha, reduzindo a resiliência da autenticação baseada em certificados do Microsoft Entra ID. Para reduzir esse risco, recomendamos o uso de soluções altamente disponíveis que garantam um tempo de atividade contínuo para os endpoints de CRL.
Se a CRL exceder o limite interativo para uma nuvem, a entrada inicial do usuário falhará com o seguinte erro:

The Certificate Revocation List (CRL) downloaded from {uri} has exceeded the maximum allowed size ({size} bytes) for CRLs in Microsoft Entra ID. Try again in few minutes. If the issue persists, contact your tenant administrators.
O Microsoft Entra ID tenta descarregar a CRL sujeita aos limites do lado do serviço (65 MB no Microsoft Entra ID público e 150 MB no Azure para o Governo dos Estados Unidos).
Os usuários podem repetir a autenticação após alguns minutos. Se o certificado do usuário for revogado e aparecer na CRL, a autenticação falhará.

Importante

A revogação de token para um certificado revogado não é imediata devido ao armazenamento em cache da CRL. Se uma CRL já estiver armazenada em cache, os certificados recém-revogados não serão detetados até que o cache seja atualizado com uma CRL atualizada. As CRLs delta normalmente incluem essas atualizações, portanto, a revogação entra em vigor assim que a CRL delta é carregada. Se as CRLs delta não forem usadas, a revogação dependerá do período de validade da CRL base. Os administradores devem revogar manualmente os tokens somente quando a revogação imediata for crítica, como em cenários de alta segurança. Para obter mais informações, consulte Configurar revogação.
Não suportamos o Protocolo de Estado de Certificado Online (OCSP) devido a razões de desempenho e fiabilidade. Em vez de descarregar o CRL em todas as ligações pelo navegador cliente do OCSP, o Microsoft Entra ID descarrega-o uma vez no primeiro login e armazena-o em cache. Essa ação melhora o desempenho e a confiabilidade da verificação de CRL. Também indexamos o cache para que a pesquisa seja sempre muito mais rápida.
Se a Microsoft Entra descarregar com sucesso o CRL, ele armazena em cache e reutiliza o CRL para qualquer uso subsequente. Respeita a data de atualização seguinte e, se disponível, a data de publicação do seguinte CRL (usada por Windows Server CAs) no documento CRL.
Se o certificado do usuário estiver listado como revogado na CRL, a autenticação do usuário falhará.

Importante

Devido à natureza do cache CRL e dos ciclos de publicação, é altamente recomendado que, se houver uma revogação de certificado, também revogue todas as sessões do utilizador afetado no Microsoft Entra ID.
O Microsoft Entra ID tenta pré-buscar um novo CRL a partir do ponto de distribuição se o documento CRL em cache estiver expirado. Se o CRL tiver uma "Próxima Data de Publicação", a Microsoft Entra faz um pré-carregamento de CRL mesmo que o CRL na cache não esteja expirado. A partir de agora, não há como forçar ou reativar manualmente o download da CRL.

Observação

O Microsoft Entra ID verifica a CRL da CA emissora e de outras CAs na cadeia de confiança PKI até à CA raiz. Temos um limite de até 10 CAs do certificado de cliente folha para validação de CRL na cadeia PKI. A limitação é garantir que um agente mal-intencionado não derrube o serviço ao carregar uma cadeia PKI com um grande número de CAs e um tamanho de CRL maior. Se a cadeia PKI do tenant tiver mais de 10 CAs, e se houver uma CA comprometida, os Administradores da Política de Autenticação devem remover o emissor confiável comprometido da configuração do tenant Microsoft Entra. Para obter mais informações, consulte Pré-busca de CRL.

Como configurar a revogação

Para revogar um certificado de cliente, o Microsoft Entra ID recolhe a lista de revogação de certificados (CRL) dos URLs carregados como parte da informação da autoridade certificadora e armazena-a em cache. O último timestamp de publicação (propriedade Data Efetiva) na CRL é utilizado para garantir que a CRL ainda seja válida. A Lista de Revogação de Certificados (CRL) é consultada regularmente para revogar os certificados que fazem parte da lista.

Revogação imediata das sessões com o Entra CBA

Há muitos cenários que podem exigir que um administrador revogue imediatamente todos os tokens de sessão para que todo o acesso de um usuário seja revogado. Tais cenários incluem:

contas comprometidas
rescisão de empregado
Entra falha de serviço onde são utilizadas as credenciais armazenadas em cache sem incluir a validação da CRL
outras ameaças internas.

Se for necessária uma revogação mais instantânea (por exemplo, se um usuário perder um dispositivo), o token de autorização do usuário pode ser invalidado. Para invalidar o token de autorização, defina o campo StsRefreshTokensValidFrom para este utilizador em particular usando Windows PowerShell. Você deve atualizar o campo StsRefreshTokensValidFrom para cada usuário para o qual deseja revogar o acesso.

Para garantir que a revogação persista, você deve definir a Data efetiva da CRL para uma data após o valor definido por StsRefreshTokensValidFrom e garantir que o certificado em questão esteja na CRL.

As etapas a seguir descrevem o processo para atualizar e invalidar o token de autorização definindo o campo StsRefreshTokensValidFrom .

# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"

# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"

# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom

A data que você definiu deve ser no futuro. Se a data não estiver no futuro, a propriedade StsRefreshTokensValidFrom não será definida. Se a data estiver no futuro, StsRefreshTokensValidFrom será definido para a hora atual (não a data indicada pelo comando Set-MsolUser).

Impor a validação de CRL para CAs

Quando carregas as CAs para a Microsoft Entra trust store, não precisas de incluir um CRL ou o atributo CrlDistributionPoint. Você pode carregar uma autoridade de certificação (CA) sem um endpoint de Lista de Revogação de Certificados (CRL), e a autenticação baseada em certificado não falhará se uma autoridade de certificação emissora não especificar uma Lista de Revogação de Certificados (CRL).

Para fortalecer a segurança e evitar configurações incorretas, um Administrador de Política de Autenticação pode exigir que a autenticação CBA falhe se uma autoridade de certificação que emite um certificado de usuário final não configurar uma CRL.

Ativar validação de CRL

Selecione Exigir validação de CRL (recomendado) para habilitar a validação de CRL.

Quando você habilita essa configuração, o CBA falha se o certificado de usuário final vier de uma autoridade de certificação que não configura uma CRL.
Um administrador de política de autenticação pode isentar uma autoridade de certificação se sua CRL tiver problemas que precisam ser corrigidos. Selecione Adicionar isenção e escolha qualquer autoridade de certificação a ser isenta.
As autoridades de certificação na lista de isentos não precisam configurar uma CRL e os certificados de usuário final que emitem não falham na autenticação.

Selecione CAs e selecione Adicionar. Use a caixa de texto Pesquisar para filtrar as listas de CA e selecionar CA específicas.

Orientações para configurar CRLs (CRL base e delta) para o Microsoft Entra ID

Publique CRLs acessíveis:
- Certifique-se de que sua autoridade de certificação publique a CRL base e as CRLs delta (se aplicável) em URLs voltadas para a Internet acessíveis via HTTP.
- O Microsoft Entra ID não pode validar certificados se os CRLs estiverem alojados em servidores apenas internos. As URLs devem ser altamente disponíveis, de alto desempenho e resilientes para evitar falhas de autenticação devido à indisponibilidade.
- Valide a acessibilidade da CRL testando a URL da CRL em um navegador e usando certutil -url para verificações de distribuição.
Configure URLs de CRL em Microsoft Entra ID:
- Carregue o certificado público da CA para o Microsoft Entra ID e configure os pontos de distribuição CRL (CDPs).
- URL da CRL base: contém todos os certificados revogados.
- URL da CRL Delta (opcional, mas recomendada): contém certificados revogados desde que a última CRL base foi publicada.
- Use ferramentas como certutil para verificar a validade da CRL e solucionar problemas de certificado e CRL localmente.
Definir períodos de validade:
- Defina o período de validade da CRL base longo o suficiente para equilibrar a sobrecarga operacional e a segurança (normalmente dias a semanas).
- Defina o período de validade da CRL delta mais curto (geralmente 24 horas) para permitir o reconhecimento oportuno de certificados revogados.
- A validade mais curta da CRL delta melhora a segurança, reduzindo a janela em que os certificados revogados permanecem válidos, mas aumenta a carga de emissão e distribuição.
- A validade padrão recomendada de 24 horas para CRLs delta em servidores Windows é um padrão amplamente aceite de segurança e desempenho.
- O Microsoft Entra ID foi concebido para gerir eficientemente atualizações frequentes de CRL delta sem degradação de desempenho, e melhorias contínuas ajudam a melhorar ainda mais esta situação.
- Microsoft Entra ID aplica mecanismos de limitação para proteger contra ataques DDoS durante downloads delta CRL, que podem resultar em erros temporários como "AADSTS2205013" para um pequeno grupo de utilizadores.
Garanta alta disponibilidade e desempenho:
- Hospede CRLs em servidores Web confiáveis ou redes de entrega de conteúdo (CDNs) para minimizar atrasos ou falhas durante a recuperação.
- Monitore a publicação e a acessibilidade de CRL de forma proativa.
Proteja-se contra limitação e ataques distribuídos de negação de serviço (DDoS):
- Para proteger os serviços e utilizadores do Microsoft Entra ID, é aplicada uma limitação às operações de obtenção de CRL durante cargas elevadas ou potenciais abusos.
- Agende a publicação de CRL e os ciclos de expiração fora do horário de pico para minimizar a probabilidade de limitação afetar os usuários.
Gerenciamento de tamanho de CRL
- Mantenha as cargas úteis de CRL tão pequenas quanto possível, idealmente através da emissão frequente de CRL delta e arquivamento de entradas antigas, para melhorar a velocidade de busca e reduzir a largura de banda.
Ativar validação de CRL
- Aplicar a validação CRL nas políticas do Microsoft Entra ID para garantir que os certificados revogados são detetados. Para obter mais informações, consulte Habilitar validação de CRL.
- Considere evitar temporariamente a verificação de CRL apenas como último recurso durante a resolução de problemas, compreendendo os riscos de segurança.
Teste e monitore
- Realize testes regulares para verificar se as CRLs são descarregáveis e reconhecidas corretamente pelo Microsoft Entra ID.
- Use o monitoramento para detetar e corrigir rapidamente quaisquer problemas de disponibilidade ou validação de CRL.

Referência de erro de CRL

Código de erro e mensagem	Description	Causas comuns	Recommendations
AADSTS500171: O certificado foi revogado. Entre em contato com o administrador.	O certificado está na CRL, indicando que está revogado.	O certificado é revogado pelo administrador.	Se um certificado for incluído por engano na CRL, peça à autoridade de certificação emissora que reemita a CRL com uma lista atualizada que reflita com precisão as revogações pretendidas.
AADSTS500172: O certificado '{nome}' emitido por '{emissor}' não é válido. Hora atual: '{curTime}'. Certificado NotBefore: '{startTime}'. Certificado NotAfter: '{endTime}'.	A CRL não é válida dentro do período estipulado.	As CRLs ou CRLs delta usadas para validar o certificado têm problemas de tempo, como CRLs expiradas ou tempos de publicação/validade configurados incorretamente.	- Confirme se as datas NotBefore e NotAfter do certificado abrangem corretamente a hora atual. - Verifique se as CRLs base e delta publicadas pela sua autoridade de certificação não expiraram.
AADSTS500173: >Não é possível baixar uma lista de revogação de certificados (CRL). Código de estado inválido {code} do ponto de distribuição da CRL. Entre em contato com o administrador.	Não foi possível transferir a CRL devido a problemas de endpoint.	- O ponto de extremidade CRL retorna erros HTTP (como 403) - CRL expirou sem atualização	- Confirmar que o endpoint CRL retorna dados válidos - Garantir que a autoridade de certificação publique regularmente CRLs atualizadas - O URL CRL está inacessível devido a problemas de rede, bloqueios de firewall ou tempo de inatividade do servidor. - Ativar o mecanismo de segurança de falhas do CRL para bloquear certificados não verificáveis.
AADSTS500174: Não é possível construir uma lista de certificados revogados (CRL) válida a partir da resposta.	O Microsoft Entra ID não consegue analisar nem usar o CRL recuperado do ponto de distribuição especificado.	- O URL CRL está inacessível devido a problemas de rede, bloqueios de firewall ou tempo de inatividade do servidor. - O arquivo CRL baixado está corrompido, incompleto ou formatado incorretamente. - Os URLs nos campos CDP do certificado não apontam para arquivos CRL válidos ou estão configurados incorretamente.	- Verificar a acessibilidade, validade e integridade da CRL. - Inspecione o arquivo CRL em busca de corrupção ou conteúdo incompleto.
AADSTS500175: A verificação de revogação falhou porque a lista de revogação de certificados (CRL) de um certificado na cadeia está ausente.	Durante a verificação de revogação de certificados, a Microsoft Entra não conseguiu localizar um segmento ou parte necessária da Lista de Revogação de Certificados (CRL).	- O arquivo CRL baixado do CDP (Ponto de Distribuição da CRL) está corrompido ou truncado. - Publicação incorreta ou incompleta do LCR pela AC. - Problemas de rede que causam downloads de CRL incompletos ou com falha. - Configuração incorreta dos URLs ou segmentos de arquivos do ponto de distribuição da CRL.	- Verificar a integridade da CRL - Republicar ou regenerar CRL - Verifique as configurações de rede e proxy - Garantir a configuração correta do CDP em todas as CAs
AADSTS500176: A autoridade de certificação que emitiu seu certificado não foi configurada no locatário. Entre em contato com o administrador.	A Microsoft Entra não conseguiu localizar o certificado da CA emissora na sua loja de certificados de confiança. Isso impede a validação bem-sucedida da cadeia de confiança do certificado do usuário.	- O certificado da CA emissora (raiz ou intermédio) não está carregado nem configurado na lista de certificados de confiança do Microsoft Entra ID. - A cadeia de certificados armazenada no cliente ou dispositivo não se vincula corretamente a um certificado de CA confiável. - Referências de Identificador de Chave de Assunto (SKI) e Identificador de Chave de Autoridade (AKI) incompatíveis ou ausentes na cadeia de certificados. - O certificado de emissão pode estar expirado, revogado ou inválido.	- O administrador do tenant deve carregar todos os certificados de CA raiz e intermédios relevantes para a loja de certificados de confiança da Microsoft Entra através do centro de administração Microsoft Entra. - Confirme que o SKI do certificado CA emissor corresponde ao AKI no certificado do utilizador, para garantir a ligação correta na cadeia. - Use ferramentas como certutil ou OpenSSL para verificar se a cadeia completa de certificados está intacta e confiável. - Substitua quaisquer certificados de CA expirados ou revogados no repositório de certificados confiáveis para manter a validade da cadeia.
AADSTS500177: Lista de Certificados Revogados (CRL) configurada incorretamente. O ponto de distribuição de CRL delta é configurado sem um ponto de distribuição de CRL de base correspondente. Entre em contato com o administrador.	Indica que a configuração da Autoridade de Certificação inclui um ponto de distribuição de Delta CRL, mas o ponto de distribuição de Base CRL correspondente está ausente ou não está configurado corretamente.	- Os CDPs (pontos de distribuição de CRL) configurados nos certificados ou nas definições da Autoridade Certificadora são URLs inválidas, inacessíveis ou incorretas. - A autoridade de certificação não publicou a CRL corretamente ou a CRL expirou, causando falhas de validação. - Dispositivos ou serviços Microsoft Entra ID não conseguem aceder às URLs CRL devido a regras de firewall, restrições de proxy ou problemas de conectividade de rede. - Configurações mal configuradas, seja no Microsoft Entra ou na Autoridade Certificadora emissora, relacionadas com o tratamento de CRL.	- Confirme e atualize os pontos de distribuição de CRL para URLs precisas e acessíveis publicamente. - Garantir que os CRLs sejam publicados e renovados regularmente antes da expiração. Automatizar, se possível, a publicação de CRL. - Permita o tráfego de rede necessário para pontos de distribuição de CRL atualizando as regras de firewall, proxy ou dispositivo de segurança. - Verifique se há corrupção ou truncamento nas CRLs baixadas e publique novamente, se necessário. - Verifique duas vezes as configurações do Microsoft Entra ID e CA relacionadas com publicação CRL, URLs e políticas de validação.
AADSTS500178: Não é possível recuperar segmentos de CRL válidos para {type}. Tente novamente mais tarde.	O Microsoft Entra ID não descarrega nem processa todos os segmentos necessários da Lista de Revogação de Certificados (CRL) durante a validação do certificado.	- A CRL é publicada em vários segmentos, e um ou mais segmentos estão ausentes, corrompidos ou inacessíveis. - Restrições de rede ou firewalls bloqueiam o acesso a um ou mais segmentos de CRL. - Os segmentos de CRL disponíveis podem ter expirado ou não estão atualizados corretamente. - URLs incorretas ou entradas ausentes nos pontos de distribuição de CRL do certificado onde os segmentos estão hospedados.	- Faça o download manual de todos os segmentos de CRL de seus pontos de distribuição e verifique se há integridade e validade. - Certifique-se de que todas as URLs de segmento de CRL estão corretamente configuradas e acessíveis. Atualize certificados ou configurações de CA se as URLs de CDP tiverem sido alteradas. - Confirme que a autoridade de certificação publica e mantém todos os segmentos de CRL corretamente, sem corrupção ou falta de partes.
AADSTS500179: A validação da CRL excedeu o tempo limite. Tente novamente mais tarde.	O tempo limite de download da CRL expirou ou foi interrompido.	- O tamanho da CRL excede os limites - Latência ou instabilidade da rede	- Manter o tamanho do CRL abaixo de 20MB (Azure comercial) ou 45MB (Azure para o Governo dos EUA) - Defina `Next Update` o intervalo para pelo menos uma semana - Monitore o desempenho de download de CRL através de logs de login.
AADSTS500183: O certificado foi revogado. Entre em contato com o administrador	Uma tentativa de autenticação falhou porque o dispositivo cliente apresentou um certificado que foi revogado pela autoridade de certificação emissora.	O certificado usado para autenticação é encontrado na Lista de Revogação de Certificados (CRL) ou sinalizado como revogado pela autoridade de certificação.	- O Administrador do Tenant deve garantir que o novo certificado está corretamente provisionado e é confiável pelo Microsoft Entra ID. - Verifique se as CRLs e as CRLs delta publicadas pela sua autoridade de certificação estão atualizadas e acessíveis para os dispositivos.
AADSTS2205011: A Lista de Revogação de Certificados (CRL) baixada não está em um formato de codificação ASN.1 válido. Entre em contato com o administrador.	O ficheiro CRL obtido pelo Microsoft Entra não é corretamente codificado seguindo o padrão Abstract Syntax Notation One (ASN.1) Distinguished Encoding Rules (DER), que é necessário para analisar e validar os dados CRL.	- O arquivo CRL está corrompido ou truncado durante a publicação ou transmissão. - A CRL foi gerada ou codificada incorretamente pela autoridade de certificação e não está em conformidade com os padrões ASN.1 DER. - Conversões de formato de arquivo (como codificação base64/PEM imprópria) corromperam os dados CRL.	- Faça o download manual da CRL e inspecione-a com ferramentas como openssl ou analisadores ASN.1 especializados para confirmar se está corrompido ou malformado. - Regenerar e republicar a CRL da CA garantindo a conformidade com os padrões de codificação ASN.1 DER. - Garantir que o software ou as ferramentas de CA que geram CRLs estejam em conformidade com a RFC 5280 e codificem corretamente as CRLs no formato ASN.1 DER.
AADSTS2205012: A tentativa de baixar a Lista de Revogação de Certificados (CRL) de '{uri}' durante a entrada interativa expirou. Estamos tentando fazer o download novamente. Por favor, tente novamente em alguns minutos.	O Microsoft Entra ID não conseguiu recuperar o ficheiro CRL dentro do tempo esperado a partir da URL especificada.	- Os serviços do Microsoft Entra ID não conseguem chegar ao ponto de distribuição CRL devido a falhas de rede, restrições de firewall ou falhas no DNS. - O servidor que hospeda a CRL está inativo, sobrecarregado ou não responde em tempo hábil. - CRLs grandes levam mais tempo para serem baixadas, potencialmente resultando em interrupções por limite de tempo.	- Use CRLs delta para manter tamanhos de arquivo CRL menores e atualizar com mais frequência para reduzir o tempo de download. - Publique ou atualize CRLs fora do horário de pico para reduzir a carga do servidor e melhorar os tempos de resposta. - Monitorar e manter alta disponibilidade e desempenho dos servidores de hospedagem CRL.
AADSTS2205013: O download da Lista de Revogação de Certificados (CRL) está atualmente em andamento. Por favor, tente novamente em alguns minutos.	Acontece quando várias tentativas de autenticação disparam simultaneamente transferências de CRL e o sistema ainda está processando a atual recuperação da CRL.	- Quando uma CRL expira ou está prestes a expirar, vários usuários entrando simultaneamente podem causar tentativas simultâneas de baixar a CRL nova. - Microsoft Entra ID aplica um mecanismo de bloqueio para evitar downloads concorrentes do mesmo CRL, reduzindo a carga e as condições potenciais de corrida. Isto faz com que alguns pedidos de autenticação sejam temporariamente negados com esta mensagem de tentativa repetida. - Grandes populações de usuários ou grandes explosões de login podem aumentar a frequência desse erro.	- Aguarde alguns minutos para que o download de CRL em andamento termine antes de tentar entrar novamente. - Garantir que as CRLs sejam publicadas e atualizadas regularmente antes da expiração para reduzir os redownloads forçados.
AADSTS2205014:A tentativa de baixar a Lista de Certificados Revogados (CRL) de '{uri}' durante a entrada interativa excedeu o tamanho máximo permitido ({size} bytes). A CRL está sendo provisionada com o limite de download de serviço da CRL, tente novamente em alguns minutos.	O ficheiro CRL que o Microsoft Entra ID tentou descarregar é maior do que o limite de tamanho definido pelo serviço. A Microsoft Entra tentará descarregar em segundo plano com limites mais elevados.	- O arquivo CRL publicado pela autoridade de certificação é muito grande, muitas vezes devido a um alto número de certificados revogados. - CRLs grandes podem ocorrer se os certificados revogados não forem removidos ou se a autoridade de certificação mantiver períodos de validade prolongados para os dados de revogação. - Grandes tamanhos de CRL aumentam os tempos de download e o consumo de recursos durante a autenticação baseada em certificados.	- Remova certificados revogados obsoletos ou expirados do banco de dados da autoridade de certificação. - Encurtar os períodos de validade da CRL e aumentar a frequência de publicação para manter os tamanhos da CRL gerenciáveis. - Implementar CRLs delta para distribuir apenas informações de revogação incremental e reduzir a largura de banda.
AADSTS2205015: A lista de certificados revogados (CRL) falhou na validação da assinatura. O SubjectKeyIdentifier esperado {expectedSKI} não corresponde ao AuthorityKeyIdentifier {crlAK} da CRL. Entre em contato com o administrador.	A assinatura criptográfica no CRL não pôde ser validada porque o CRL estava assinado por um certificado cujo Identificador de Chave Sujeita (SKI) não corresponde ao Identificador de Chave de Autoridade (AKI) esperado pelo Microsoft Entra ID.	- O certificado da autoridade de certificação usado para assinar a CRL mudou, mas o novo SKI não foi atualizado ou sincronizado na lista de certificados confiáveis. - A CRL está desatualizada ou incompatível devido a uma configuração incorreta na hierarquia PKI. - Certificados de CA intermediários incorretos ou ausentes na lista de certificados confiáveis. - O certificado de assinatura de CRL pode não ter o uso de chave apropriado para assinar CRLs.	- Verifique se o Identificador de Chave de Assunto (SKI) do certificado da Autoridade Certificadora que assina a CRL corresponde ao Identificador de Chave de Autoridade (AKI) na CRL. - Confirmar que o certificado de CA de assinatura foi carregado e que foi confiado no Microsoft Entra ID. - Valide se o certificado de CA usado para assinar a CRL tem os sinalizadores de uso de chave apropriados habilitados (como assinatura de CRL) e verifique se a cadeia de certificados está intacta e intacta. - Carregar ou atualizar os certificados de CA raiz e intermédios corretos na lista de autoridades certificadoras de confiança do Microsoft Entra ID e garantir que o certificado usado para assinar a CRL está incluído e corretamente configurado.
AADSTS7000214: O certificado foi revogado.	O certificado foi revogado.	- Certificado listado no CRL	- Substituir certificado revogado - Investigar o motivo da revogação com a autoridade de certificação - Monitorar o ciclo de vida e a renovação do certificado

Perguntas frequentes

As próximas seções abordam perguntas e respostas comuns relacionadas às Listas de Revogação de Certificados.

Existe um limite para o tamanho da CRL?

Aplicam-se os seguintes limites de tamanho de CRL:

Limite de download interativo ao iniciar sessão: 20 MB (Azure Global, inclui GCC), 45 MB para o Azure Governo dos EUA (inclui GCC High, Departamento de Defesa).
Limite de download do serviço: 65 MB (Azure Global, inclui GCC), 150 MB para Azure Governo dos EUA (inclui GCC High, Departamento de Defesa)

Quando um download de CRL falha, a seguinte mensagem aparece:

"A Lista de Revogação de Certificados (CRL) descarregada de {uri} excedeu o tamanho máximo permitido ({tamanho} bytes) para CRLs no Microsoft Entra ID. Tente novamente em poucos minutos. Se o problema persistir, entre em contato com os administradores do locatário."

O download permanece em segundo plano com limites mais altos.

Estamos revisando o impacto desses limites e temos planos para removê-los.

Vejo um conjunto válido de pontos de extremidade da Lista de Revogação de Certificados (CRL), mas por que não vejo nenhuma revogação na CRL?

Verifique se o ponto de distribuição da CRL está definido como uma URL HTTP válida.
Verifique se o ponto de distribuição da CRL está acessível por meio de uma URL voltada para a Internet.
Certifique-se de que os tamanhos de CRL estão dentro dos limites.

Como faço para revogar instantaneamente um certificado?

Siga as etapas para revogar manualmente um certificado.

Como posso ativar ou desativar a verificação de revogação de certificados para uma autoridade de certificação específica?

Recomendamos não desabilitar a verificação da lista de revogação de certificados (CRL) porque você não poderá revogar certificados. No entanto, se precisares de investigar questões relacionadas com a verificação CRL, podes isentar uma CA da verificação CRL no centro de administração Microsoft Entra. Na política de métodos de autenticação CBA, selecione Configurar e, em seguida, selecione Adicionar isenção. Escolha a autoridade de certificação que deseja excluir e selecione Adicionar.

Quando um problema impede a Microsoft Entra de descarregar a CRL, a causa é frequentemente restrições do firewall. Na maioria dos casos, pode resolver o problema atualizando as regras do firewall para permitir os endereços IP necessários, permitindo que o Microsoft Entra descarregue com sucesso o CRL. Para mais informações, consulte Lista de Microsoft IPAddress.

Como posso encontrar a CRL de uma AC ou como resolvo o erro "AADSTS2205015: A lista de certificados revogados (CRL) falhou na validação da assinatura"?

Baixe a CRL e compare o certificado da autoridade de certificação e as informações da CRL para validar se o crlDistributionPoint valor é válido para a autoridade de certificação que você deseja adicionar. Você pode configurar a CRL para a autoridade de certificação correspondente fazendo a correspondência entre o identificador de chave de assunto (SKI) do emissor da autoridade de certificação e o identificador de chave de autoridade (AKI) da CRL (CA Issuer SKI == CRL AKI).

A tabela e a figura a seguir mostram como mapear informações do certificado da autoridade de certificação para os atributos da CRL baixada.

Informações do certificado CA	=	Informações da CRL baixadas
Assunto	=	Issuer
Identificador de chave de assunto (SKI)	=	Identificador de chave de autoridade (KeyID)

Captura de ecrã que compara campos de certificado da autoridade de certificação com informações de CRL.

Microsoft Entra Lista de Revogação de Certificados do CBA

Próximos passos

Comentários

Esta página foi útil?

Last updated on 2026-04-14