Seznam odvolaných certifikátů (CRL) odvolaných certifikátů microsoft Entra

Seznam odvolaných certifikátů (CRL) je seznam certifikátů odvolaných vydávající certifikační autoritou (CA) před plánovaným datem vypršení platnosti. Seznamy CRL jsou nezbytné pro zachování integrity ověřování. Když je certifikát odvolán, označí se jako nedůvěryhodný, i když nevypršela platnost. Začlenění seznamů CRL do ověřování založeného na certifikátech zajišťuje, že budou přijaty pouze platné, neodvolané certifikáty a id Microsoft Entra blokuje všechny pokusy o použití odvolaných certifikátů.

Seznamy CRL jsou digitálně podepsané certifikační autoritou a publikovány do veřejně přístupných umístění a umožňují jejich stažení přes internet, aby ověřila stav odvolání certifikátů. Když klient předloží certifikát pro ověřování, systém zkontroluje CRL a určí, jestli byl certifikát odvolán.

Pokud se certifikát najde v seznamu CRL, pokus o ověření se odmítne. Seznamy CRL se obvykle pravidelně aktualizují a organizace by měly zajistit, aby měly nejnovější verzi seznamu CRL, aby mohly přesně rozhodovat o platnosti certifikátu.

Pokud jsou nakonfigurované seznamy CBA (CBA) založené na certifikátech Microsoft Entra, musí systém během ověřování načíst a ověřit seznam CRL. Pokud Microsoft Entra ID nemůže získat přístup ke koncovému bodu seznamu CRL, ověřování selže, protože K potvrzení platnosti certifikátu se vyžaduje CRL.

Jak funguje CRL při ověřování na základě certifikátů

CRL funguje tak, že poskytuje mechanismus pro kontrolu platnosti certifikátů používaných k ověřování. Tento proces zahrnuje několik klíčových kroků:

• Vystavování certifikátů: Pokud certifikát vydá certifikační autorita, je platný až do data vypršení jeho platnosti, pokud se neodvolá dříve. Každý certifikát obsahuje veřejný klíč a je podepsaný certifikační autoritou.

• Odvolání: Pokud je potřeba odvolat certifikát (například pokud dojde k ohrožení zabezpečení privátního klíče nebo už certifikát není potřeba), certifikační autorita ho přidá do seznamu CRL.

• Distribuce seznamu CRL: Certifikační autorita publikuje seznam CRL do umístění přístupného klienty, jako je webový server nebo adresářová služba. CRL je obvykle podepsán certifikační autoritou, aby se zajistila jeho integrita. Pokud CRL není podepsána CA, vyvolá se chyba kryptografie AADSTS2205015. K řešení problému postupujte podle pokynů v FAQ.

• Kontrola klienta: Když klient předloží certifikát pro ověřování, systém načte seznam CRL pro každou certifikační autoritu v řetězu certifikátů z publikovaných umístění a vyhledá všechny odvolané certifikační autority. Pokud některé umístění seznamu CRL není k dispozici, ověřování selže, protože systém nemůže ověřit stav odvolání certifikátu.

• Autentizace: Pokud se certifikát najde v seznamu CRL, pokus o ověření se odmítne a klient má odepřený přístup. Pokud certifikát není v seznamu CRL, ověřování pokračuje normálním způsobem.

• Aktualizace seznamu CRL: CRL se pravidelně aktualizuje certifikační autoritou a klienti by měli zajistit, aby měli nejnovější verzi, aby mohli přesně rozhodovat o platnosti certifikátu. Systém ukládá seznam CRL do mezipaměti po určitou dobu, aby snížil síťový provoz a zlepšil výkon, ale pravidelně kontroluje aktualizace.

Principy procesu odvolání certifikátu v ověřování založeném na certifikátech Microsoft Entra

Proces odvolání certifikátu umožňuje správcům zásad ověřování odvolat dříve vydaný certifikát, aby ho nemohli použít pro budoucí ověřování.

Správci zásad ověřování konfigurují distribuční bod seznamu CRL během procesu nastavení důvěryhodných vystavitelů v tenantovi Microsoft Entra. Každý důvěryhodný vystavitel by měl mít CRL, na který můžete odkazovat pomocí internetové adresy URL. Další informace najdete v tématu Konfigurace certifikačních autorit.

Id Microsoft Entra podporuje pouze jeden koncový bod seznamu CRL a podporuje pouze PROTOKOL HTTP nebo HTTPS. Pro distribuci seznamu CRL doporučujeme místo PROTOKOLU HTTPS použít protokol HTTP. Kontroly seznamu CRL probíhají během ověřování na základě certifikátu a jakékoli zpoždění nebo selhání při načítání seznamu CRL může blokovat ověřování. Použití protokolu HTTP minimalizuje latenci a zabraňuje potenciálním cyklovým závislostem způsobeným protokolem HTTPS (který sám vyžaduje ověření certifikátu). Abyste zajistili spolehlivost, hostujte seznamy CRL na vysoce dostupných koncových bodech HTTP a ověřte, že jsou přístupné přes internet.

Důležité

Maximální velikost seznamu CRL pro Microsoft Entra ID pro úspěšné stažení interaktivního přihlášení je 20 MB ve veřejném MICROSOFT Entra ID a 45 MB v cloudech Azure US Government. Doba potřebná ke stažení seznamu CRL nesmí překročit 10 sekund. Pokud microsoft Entra ID nemůže stáhnout CRL, ověřování na základě certifikátů pomocí certifikátů vystavených odpovídající certifikační autoritou selže. Osvědčeným postupem je zachovat soubory seznamu CRL v mezích limitů velikosti, zachovat životnost certifikátů v přiměřené mezích a vyčistit prošlé certifikáty.

1. Když uživatel provede interaktivní přihlášení pomocí certifikátu, Microsoft Entra ID stáhne a ukládá seznam odvolaných certifikátů zákazníka (CRL) ze své certifikační autority, aby zkontroloval, jestli jsou certifikáty při ověřování uživatele odvolány. Microsoft Entra používá atribut SubjectKeyIdentifier místo SubjectName k sestavení řetězu certifikátů. Pokud jsou povolené seznamy CRL, musí konfigurace PKI obsahovat hodnoty SubjectKeyIdentifier a Identifikátor klíče autority, aby se zajistila správná kontrola odvolání.

   SubjectKeyIdentifier poskytuje jedinečný neměnný identifikátor veřejného klíče certifikátu, takže je spolehlivější než SubjectName, který se dá změnit nebo duplikovat mezi certifikáty. Tento atribut zajišťuje přesné vytváření řetězců a konzistentní ověřování seznamu CRL v komplexních prostředích PKI.

   Důležité

   Pokud správce zásad ověřování přeskočí konfiguraci seznamu CRL, microsoft Entra ID neprovede žádné kontroly seznamu CRL během ověřování uživatele na základě certifikátu. Toto chování může být užitečné při počátečním řešení potíží, ale nemělo by se považovat za použití v produkčním prostředí.

   • Pouze základní seznam CRL: Pokud je nakonfigurovaný pouze základní seznam CRL, Microsoft Entra ID stáhne a uloží ho do mezipaměti do časového razítka další aktualizace. Ověřování selže, pokud vypršela platnost seznamu CRL a nejde ho aktualizovat kvůli problémům s připojením nebo pokud koncový bod seznamu CRL neposkytuje aktualizovanou verzi. Microsoft Entra striktně vynucuje správu verzí seznamu CRL: při publikování nového seznamu CRL musí být jeho číslo seznamu CRL vyšší než předchozí verze.

     Číslo seznamu CRL zajišťuje monotónní správu verzí, což brání útokům na přehrání, kdy může být znovu vyvolána starší seznamy CRL, aby se obejily kontroly odvolání. Vyžadováním, aby každý nový seznam CRL měl vyšší číslo verze, Microsoft Entra ID zaručuje, že se vždy použijí nejnovější data odvolání.

   • Základní + rozdílový CRL: Pokud jsou oba nakonfigurované, musí být oba platné a přístupné. Pokud chybí nebo vypršela platnost, ověření certifikátu selže podle standardů RFC 5280.

2. Ověřování na základě certifikátů uživatele selže, pokud je pro důvěryhodného vystavitele nakonfigurovaný CRL a ID Microsoft Entra nemůže stáhnout CRL kvůli dostupnosti, velikosti nebo latenci omezení. Kvůli tomuto omezení je koncový bod seznamu CRL kritickým kritickým bodem selhání, což snižuje odolnost ověřování na základě certifikátů microsoft Entra ID. Pokud chcete toto riziko zmírnit, doporučujeme používat vysoce dostupná řešení, která zajišťují nepřetržitou dobu provozu koncových bodů seznamu CRL.

3. Pokud CRL překročí interaktivní limit cloudu, počáteční přihlášení uživatele selže s následující chybou:

   The Certificate Revocation List (CRL) downloaded from {uri} has exceeded the maximum allowed size ({size} bytes) for CRLs in Microsoft Entra ID. Try again in few minutes. If the issue persists, contact your tenant administrators.

4. Id Microsoft Entra se pokusí stáhnout CRL v souladu s limity na straně služby (45 MB ve veřejném Microsoft Entra ID a 150 MB v Azure for US Government).

5. Uživatelé můžou ověření opakovat po několika minutách. Pokud je certifikát uživatele odvolán a zobrazí se v seznamu CRL, ověření se nezdaří.

   Důležité

   Odvolání tokenu pro odvolaný certifikát není okamžité kvůli ukládání seznamu CRL do mezipaměti. Pokud je CRL již uložen v mezipaměti, nově odvolané certifikáty se nezjistí, dokud se mezipaměť neaktualizuje s aktualizovaným seznamu CRL. Rozdílové seznamy CRL obvykle obsahují tyto aktualizace, takže odvolání se projeví po načtení rozdílového seznamu CRL. Pokud se rozdílové seznamy CRL nepoužívají, odvolání závisí na základní době platnosti seznamu CRL. Správci by měli tokeny ručně odvolat pouze v případě, že je okamžité odvolání kritické, například ve scénářích s vysokým zabezpečením. Další informace najdete v tématu Konfigurace odvolání.

6. Kvůli výkonu a spolehlivosti nepodporujeme protokol OCSP (Online Certificate Status Protocol). Místo stažení seznamu CRL při každém připojení klientským prohlížečem pro OCSP ho Microsoft Entra ID stáhne jednou při prvním přihlášení a uloží ho do mezipaměti. Tato akce zlepšuje výkon a spolehlivost ověřování seznamu CRL. Také indexujeme mezipaměť, aby vyhledávání bylo při každém hledání mnohem rychlejší.

7. Pokud Microsoft Entra úspěšně stáhne CRL, uloží do mezipaměti a znovu použije CRL pro jakékoli následné použití. Respektuje datum příští aktualizace a pokud je k dispozici, datum publikování seznamu CRL (používané certifikačními autoritami systému Windows Server) v dokumentu seznamu CRL.

8. Pokud je certifikát uživatele uvedený jako odvolaný v seznamu CRL, ověření uživatele selže.

   

   Důležité

   Vzhledem k povaze cyklů ukládání seznamu CRL do mezipaměti a publikování se důrazně doporučuje, abyste v případě odvolání certifikátu odvolali také všechny relace ovlivněného uživatele v Microsoft Entra ID.

9. Microsoft Entra ID se pokusí předem načíst nový CRL z distribučního bodu, pokud vypršela platnost dokumentu seznamu CRL v mezipaměti. Pokud seznam CRL obsahuje "Příští datum publikování" Microsoft Entra provede předběžné načtení seznamu CRL i v případě, že nevypršela platnost seznamu CRL v mezipaměti. Odteď neexistuje způsob, jak ručně vynutit stahování seznamu CRL ani ho znovu opakovat.

   Poznámka:

   Microsoft Entra ID zkontroluje CRL vydávající certifikační autority a další certifikační autority v řetězu důvěryhodnosti PKI až do kořenové certifikační autority. Pro ověření seznamu CRL v řetězu PKI máme limit až 10 certifikačních autorit z klientského certifikátu typu list. Cílem tohoto omezení je zajistit, aby špatný objekt actor nepřenesl službu tak, že nahraje řetězec PKI s velkým počtem certifikačních autorit s větší velikostí seznamu CRL. Pokud má řetěz PKI tenanta více než 10 certifikačních autorit a pokud dojde k ohrožení zabezpečení certifikační autority, měli by správci zásad ověřování odebrat ohroženého důvěryhodného vystavitele z konfigurace tenanta Microsoft Entra. Další informace najdete v tématu Předběžné načtení seznamu CRL.

Postup konfigurace odvolání

Pokud chcete odvolat klientský certifikát, Microsoft Entra ID načte seznam odvolaných certifikátů (CRL) z adres URL nahraných jako součást informací certifikační autority a uloží ho do mezipaměti. Poslední časové razítko publikování (vlastnost Effective Date ) v seznamu CRL se používá k zajištění, že seznam CRL je stále platný. CRL je pravidelně kontrolován, aby byly zrušeny certifikáty, které jsou součástí seznamu.

Okamžité odvolání relací s Entra CBA

Existuje mnoho scénářů, které by mohly vyžadovat, aby správce okamžitě odvolal všechny tokeny relace, aby byl odvolán veškerý přístup uživatele. Mezi takové scénáře patří:

• ohrožené účty
• ukončení pracovního poměru zaměstnanců
• Výpadek Entra, kdy se používají v mezipaměti uložené přihlašovací údaje, které nezahrnují kontrolu seznamu zrušených certifikátů (CRL)
• další vnitřní hrozby.

Pokud je vyžadováno okamžité odvolání (například pokud uživatel ztratí zařízení), může být autorizační token uživatele zneplatněný. Pokud chcete autorizační token zneplatnit, nastavte pole StsRefreshTokensValidFrom pro tohoto konkrétního uživatele pomocí Windows PowerShellu. Je nutné aktualizovat pole StsRefreshTokensValidFrom pro každého uživatele, pro kterého chcete odvolat přístup.

Chcete-li zajistit zachování odvolání, je nutné nastavit datum účinnosti seznamu CRL na datum po hodnotě nastavené stsRefreshTokensValidFrom a zajistit, aby příslušný certifikát byl v seznamu CRL.

Následující kroky popisují proces aktualizace a zneplatnění autorizačního tokenu nastavením pole StsRefreshTokensValidFrom .

# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"

# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"

# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom

Datum, které nastavíte, musí být v budoucnu. Pokud datum není v budoucnu, není nastavena vlastnost StsRefreshTokensValidFrom. Pokud je datum v budoucnu, StsRefreshTokensValidFrom je nastaven na aktuální čas (nikoli datum označené příkazem Set-MsolUser).

Vynucení ověřování seznamu CRL pro certifikační autority

Když nahrajete certifikační autority do úložiště důvěryhodnosti Microsoft Entra, nemusíte zahrnout seznam CRL ani atribut CrlDistributionPoint. Certifikační autoritu můžete nahrát bez koncového bodu seznamu CRL a ověřování na základě certifikátu selže, pokud vydávající certifikační autorita nezadá CRL.

Pokud chce správce zásad ověřování posílit zabezpečení a vyhnout se chybným konfiguracím, může vyžadovat ověření CBA, pokud certifikační autorita, která vydává certifikát koncového uživatele, nekonfiguruje CRL.

Povolení ověřování seznamu CRL

1. Pokud chcete povolit ověření seznamu CRL, vyberte Vyžadovat ověření seznamu CRL (doporučeno ).

   

   Pokud povolíte toto nastavení, CBA selže, pokud certifikát koncového uživatele pochází z certifikační autority, která nekonfiguruje CRL.

2. Správce zásad ověřování může certifikační autoritu vyloučit, pokud má jeho CRL problémy, které je potřeba opravit. Vyberte Přidat výjimku a zvolte všechny certifikační autority, které se mají vyloučit.

   

3. Certifikační autority v seznamu vyloučených certifikátů nemusí konfigurovat seznam CRL a certifikáty koncových uživatelů, které vydávají, selžou ověřování.

   Vyberte certifikační autority a klikněte na Přidat. Pomocí textového pole Hledat můžete filtrovat seznamy certifikačních autorit a vybrat konkrétní certifikační autority.

   

Pokyny k nastavení seznamů CRL (základní a delta CRL) pro Microsoft Entra ID

1. Publikování přístupných seznamů CRL:

   • Ujistěte se, že vaše certifikační autorita publikuje základní seznamy CRL i rozdílové seznamy CRL (pokud je k dispozici) na internetové adresy URL přístupné přes protokol HTTP.
   • ID Microsoft Entra nemůže ověřit certifikáty, pokud jsou seznamy CRL hostované na interních serverech. Adresy URL by měly být vysoce dostupné, výkonné a odolné, aby se zabránilo selháním ověřování kvůli nedostupnosti.
   • Ověřte přístupnost seznamu CRL pomocí testování adresy URL seznamu CRL v prohlížeči a pomocí nástroje certutil -url pro kontroly distribuce.

2. Konfigurace adres URL seznamu CRL v Microsoft Entra ID:

   • Nahrajte veřejný certifikát certifikační autority do MICROSOFT Entra ID a nakonfigurujte distribuční body seznamu CRL (CDPs).
   • Základní adresa URL seznamu CRL: Obsahuje všechny odvolané certifikáty.
   • Rozdílová adresa URL seznamu CRL (volitelná, ale doporučená): Obsahuje odvolané certifikáty od posledního publikování základního seznamu CRL.
   • Pomocí nástrojů, jako je certutil, ověřte platnost seznamu CRL a vyřešte potíže s certifikáty a seznamy CRL místně.

3. Nastavit období platnosti:

   • Nastavte základní období platnosti seznamu CRL dostatečně dlouho, aby se vyrovnává provozní režie a zabezpečení (obvykle dny až týdny).
   • Nastavte období platnosti rozdílového seznamu CRL kratší (obvykle 24 hodin), aby bylo možné včas rozpoznat odvolané certifikáty.
   • Kratší rozdílová platnost seznamu CRL zlepšuje zabezpečení tím, že zkracuje okno, kde odvolané certifikáty zůstávají platné, ale zvyšují zatížení vystavování a distribuce.
   • Doporučená 24hodinová výchozí platnost pro rozdílové seznamy CRL na Windows Serverech je široce přijímaným standardním zabezpečením a výkonem.
   • Microsoft Entra ID je navržený tak, aby efektivně zpracovával časté rozdílové aktualizace seznamu CRL bez snížení výkonu a průběžná vylepšení pomáhají tento problém dále vylepšit.
   • Microsoft Entra ID používá mechanismy omezování pro ochranu před útoky DDoS během rozdílového stahování seznamu CRL, což může vést k dočasným chybám, jako je "AADSTS2205013" pro malou podmnožinu uživatelů.

4. Zajištění vysoké dostupnosti a výkonu:

   • Hostování seznamů CRL na spolehlivých webových serverech nebo sítích pro doručování obsahu (CDN) za účelem minimalizace zpoždění nebo selhání během načítání.
   • Aktivně monitorujte publikování seznamu CRL a přístupnost.

5. Ochrana před omezováním a distribuovanými útoky DDoS (Denial of Service):

   • Pokud chcete chránit služby a uživatele Microsoft Entra ID, omezení se použije u operací načítání seznamu CRL během vysokého zatížení nebo potenciálního zneužití.
   • Naplánujte cykly publikování seznamu CRL a vypršení platnosti v době mimo špičku, abyste minimalizovali pravděpodobnost omezování, které má dopad na uživatele.

6. Správa velikosti seznamu CRL

   • Zachovejte datové části seznamu CRL co nejmenší, ideálně díky častému vystavování a archivaci starých položek seznamu CRL, aby se zlepšila rychlost načítání a snížila šířka pásma.

7. Povolení ověřování seznamu CRL

   • Vynucujte ověřování seznamu CRL v zásadách MICROSOFT Entra ID, aby se zajistilo zjištění odvolaných certifikátů. Další informace naleznete v tématu Povolení ověřování seznamu CRL.
   • Při řešení potíží zvažte dočasné obejití kontroly seznamu CRL pouze jako poslední možnost s pochopením rizik zabezpečení.

8. Testování a monitorování

   • Proveďte pravidelné testy, abyste ověřili, zda jsou seznamy CRL ke stažení a správně rozpoznány pomocí Microsoft Entra ID.
   • Pomocí monitorování můžete zjišťovat a rychle opravovat všechny problémy s dostupností nebo ověřováním seznamu CRL.

Referenční dokumentace k chybě seznamu CRL

Kód chyby a zpráva	Description	Běžné příčiny	Recommendations
AADSTS500171: Certifikát byl odvolán. Obraťte se na správce.	Certifikát je v seznamu CRL, což znamená, že je odvolaný.	Správce odvolal certifikát.	Pokud je certifikát omylem zahrnutý do seznamu CRL, požádejte vydávající certifikační autoritu znovu o seznam odvolaných certifikátů s aktualizovaným seznamem, který přesně odpovídá zamýšleným odvoláním.
AADSTS500172: Certifikát {name} vystavený uživatelem {issuer} není platný. Aktuální čas: {curTime}. Certifikát NotBefore: {startTime}. NotAfter certifikátu: {endTime}.	CRL není v čase platný.	Seznamy CRL nebo rozdílové seznamy CRL použité k ověření, že u certifikátu došlo k problémům s časováním, jako jsou vypršení platnosti seznamů CRL nebo nesprávně nakonfigurovaná doba publikování nebo platnosti.	- Ověřte, že data NotBefore a NotAfter certifikátu správně zahrnují aktuální čas. – Ověřte, že nevypršela platnost základních a rozdílových seznamů CRL publikovaných vaší certifikační autoritou.
AADSTS500173: >Nelze stáhnout seznam odvolaných certifikátů (CRL). Neplatný stavový kód {code} z distribučního bodu seznamu CRL Obraťte se na správce.	CRL se nepodařilo stáhnout kvůli problémům s koncovým bodem.	– Koncový bod seznamu CRL vrací chyby HTTP (například 403). – Platnost seznamu CRL vypršela bez aktualizace.	– Potvrzení, že koncový bod seznamu CRL vrací platná data – Zajištění pravidelného publikování aktualizovaných seznamů CRL certifikační autority – Adresa URL seznamu CRL je nepřístupná kvůli problémům se sítí, blokům brány firewall nebo výpadkům serveru. – Povolte zabezpečení seznamu CRL a zablokujte neověřitelné certifikáty.
AADSTS500174: Z odpovědi nelze vytvořit platný seznam odvolaných certifikátů (CRL).	Id Microsoft Entra nemůže analyzovat ani používat CRL načtený ze zadaného distribučního bodu.	– Adresa URL seznamu CRL je nepřístupná kvůli problémům se sítí, blokům brány firewall nebo výpadkům serveru. - Stažený soubor CRL je poškozený, neúplný nebo nesprávně formátovaný. – Adresy URL v polích CDP certifikátu neodkazují na platné soubory CRL nebo jsou chybně nakonfigurované.	– Ověřte přístupnost, platnost a integritu seznamu CRL. – Zkontrolujte, jestli soubor seznamu CRL neobsahuje poškození nebo neúplný obsah.
AADSTS500175: Kontrola odvolání selhala, protože chybí seznam odvolaných certifikátů (CRL) pro jeden certifikát v řetězu.	Během kontroly odvolání certifikátu microsoft Entra nemohl najít požadovaný segment nebo část seznamu odvolaných certifikátů (CRL).	– Soubor seznamu CRL stažený z distribučního bodu seznamu CRL (CDP) je poškozený nebo zkrácený. - Nesprávné nebo neúplné zveřejnění seznamu CRL certifikační autoritou. – Problémy se sítí způsobující neúplné nebo neúspěšné stahování seznamu CRL – Chybná konfigurace adres URL distribučního bodu seznamu CRL nebo segmentů souborů.	– Ověření integrity seznamu CRL – Opětovné publikování nebo opětovné vygenerování seznamu CRL - Kontrola nastavení sítě a proxy serveru – Ujistěte se, že je ve všech certifikačních autoritách správná konfigurace CDP.
AADSTS500176: Certifikační autorita, která vydala váš certifikát, nebyla v tenantovi nastavená. Obraťte se na správce.	Microsoft Entra nemohl najít vydávající certifikát certifikační autority v úložišti důvěryhodných certifikátů. Tím se zabrání úspěšnému ověření řetězce důvěryhodnosti certifikátu uživatele.	– Vydávající certifikát certifikační autority (kořenový nebo zprostředkující) se nenahraje nebo nenakonfiguruje v seznamu důvěryhodných certifikátů Microsoft Entra ID. – Řetěz certifikátů uložený na klientovi nebo zařízení není správně propojen s důvěryhodným certifikátem certifikační autority. – Neshoda nebo chybějící odkazy identifikátoru klíče subjektu (SKI) a identifikátoru klíče autority (AKI) v řetězu certifikátů. – Vydávající certifikát může vypršen, může být odvolaný nebo jinak neplatný.	– Správce tenanta by měl nahrát všechny relevantní kořenové a zprostředkující certifikáty certifikační autority do úložiště důvěryhodných certifikátů Microsoft Entra prostřednictvím Centra pro správu Microsoft Entra. - Potvrďte, že SKI vydávajícího certifikátu certifikační autority odpovídá AKI v certifikátu uživatele, aby se zajistila správná řetězová propojení. – Pomocí nástrojů, jako je certutil nebo OpenSSL, ověřte, že je úplný řetěz certifikátů nedotčený, nepřerušený a důvěryhodný. – Nahraďte všechny certifikáty certifikační autority, jejichž platnost vypršela nebo odvolaná certifikační autorita v důvěryhodném úložišti, aby se zachovala platnost řetězu.
AADSTS500177: Seznam odvolaných certifikátů (CRL) je chybně nakonfigurovaný. Distribuční bod rozdílového seznamu CRL je nakonfigurován bez odpovídajícího základního distribučního bodu seznamu CRL. Obraťte se na správce.	Označuje, že konfigurace certifikační autority zahrnuje distribuční bod rozdílového seznamu CRL, ale odpovídající distribuční bod seznamu CRL chybí nebo není správně nakonfigurovaný.	– Distribuční body seznamu CRL (CDPs) nakonfigurované v nastavení certifikátů nebo certifikační autority jsou neplatné, nepřístupné nebo nesprávné adresy URL. – Certifikační autorita nepublikovala seznam CRL správně nebo vypršela platnost seznamu CRL, což způsobuje selhání ověření. – Zařízení nebo služby Microsoft Entra ID nemají přístup k adresám URL seznamu CRL kvůli pravidlům brány firewall, omezením proxy serveru nebo problémům s připojením k síti. – Chybně nakonfigurovaná nastavení buď v Microsoft Entra, nebo vydávající certifikační autorita související se zpracováním seznamu CRL.	- Potvrďte a aktualizujte distribuční body seznamu CRL tak, aby byly přesné, veřejně přístupné adresy URL. – Ujistěte se, že se seznamy CRL publikují a obnovují pravidelně před vypršením platnosti. Pokud je to možné, automatizujte publikaci seznamu CRL. – Povolte potřebný síťový provoz do distribučních bodů seznamu CRL aktualizací pravidel brány firewall, proxy serveru nebo zabezpečení zařízení. – Ověřte stažené seznamy CRL pro poškození nebo zkrácení a v případě potřeby znovu publikujte. – Pečlivě zkontrolujte konfigurace MICROSOFT Entra ID a certifikační autority související s publikováním seznamu CRL, adresami URL a zásadami ověřování.
AADSTS500178: Nelze načíst platné segmenty seznamu CRL pro {type}. Zkuste to prosím znovu později.	Microsoft Entra ID se nepodaří stáhnout nebo zpracovat všechny požadované segmenty seznamu odvolaných certifikátů (CRL) během ověření certifikátu.	– Seznam CRL se publikuje v několika segmentech a jeden nebo více segmentů chybí, je poškozený nebo nepřístupný. – Omezení sítě nebo brány firewall blokují přístup k jednomu nebo více segmentům seznamu CRL. – Dostupné segmenty seznamu CRL můžou vypršeny nebo se správně neaktualizují. – Nesprávné adresy URL nebo chybějící položky v distribučních bodech seznamu CRL certifikátu, kde jsou segmenty hostované.	- Ručně stáhněte všechny segmenty seznamu CRL z distribučních bodů a zkontrolujte úplnost a platnost. – Ujistěte se, že jsou všechny adresy URL segmentů seznamu CRL správně nakonfigurované a přístupné. Aktualizujte certifikáty nebo konfigurace certifikační autority, pokud se změnily adresy URL CDP. – Ověřte, že certifikační autorita publikuje a udržuje všechny segmenty seznamu CRL správně bez poškození nebo chybějících částí.
AADSTS500179: Vypršel časový limit ověření seznamu CRL. Zkuste to prosím znovu později.	Vypršel časový limit stahování seznamu CRL nebo byl přerušen.	– Velikost seznamu CRL překračuje limity. - Latence sítě nebo nestabilita	– Zachovat velikost seznamu CRL pod 20 MB (komerční Azure) nebo 45 MB (Azure pro státní správu USA) - Nastavte Next Update interval alespoň na jeden týden. - Monitorujte výkon stahování seznamu CRL prostřednictvím protokolů přihlašování.
AADSTS500183: Certifikát byl odvolán. Obraťte se na správce.	Pokus o ověření selhal, protože klientské zařízení předložilo certifikát, který byl odvolán vydávající certifikační autoritou.	Certifikát použitý k ověřování se nachází v seznamu odvolaných certifikátů (CRL) nebo je označený jako odvolaný certifikační autoritou.	– Správce tenanta by měl zajistit, aby byl nový certifikát správně zřízený a důvěryhodný pro ID Microsoft Entra. – Ověřte, že seznamy CRL a rozdílové seznamy CRL publikované vaší certifikační autoritou jsou aktuální a přístupné pro zařízení.
AADSTS2205011: Stažený seznam odvolaných certifikátů (CRL) není v platném formátu kódování ASN.1. Obraťte se na správce.	Soubor CRL načtený společností Microsoft Entra není správně kódován podle standardu ASN.1 (Abstract Syntax Notation One) Distinguished Encoding Rules (DER), který je nutný k analýze a ověřování dat seznamu CRL.	- Soubor seznamu CRL je poškozen nebo zkrácen během publikování nebo přenosu. – CRL byla generována nebo kódována nesprávně certifikační autoritou a neodpovídá standardům ASN.1 DER. - Převody formátu souboru (například nesprávné kódování base64/PEM) poškodily data seznamu CRL.	- Stáhněte seznam CRL ručně a zkontrolujte ho pomocí nástrojů, jako jsou openssl nebo specializované analyzátory ASN.1, abyste ověřili, jestli je poškozený nebo poškozený. - Znovu vygenerujte a znovu publikujte CRL od certifikační autority, která zajišťuje dodržování standardů kódování ASN.1 DER. – Ujistěte se, že software nebo nástroje certifikační autority, které generují seznamy CRL, odpovídají dokumentu RFC 5280 a správně kódují seznamy CRL ve formátu ASN.1 DER.
AADSTS2205012: Při pokusu o stažení seznamu odvolaných certifikátů (CRL) z {uri} během interaktivního přihlášení vypršel časový limit. Pokoušíme se stáhnout znovu. Zkuste to prosím znovu za několik minut.	Id Microsoft Entra nemohlo načíst soubor CRL v očekávaném čase ze zadané adresy URL.	– Služby Microsoft Entra ID se nemůžou spojit s distribučním bodem seznamu CRL kvůli výpadkům sítě, omezením brány firewall nebo selháním DNS. – Server, který je hostitelem seznamu CRL, je mimo provoz, je přetížen nebo nereaguje včas. – Stažení velkých seznamů CRL trvá déle, což může způsobit vypršení časových limitů.	– Pomocí rozdílových seznamů CRL udržujte menší velikosti souborů CRL a aktualizujte častěji, abyste zkrátili dobu stahování. - Publikování nebo aktualizace seznamů CRL v době mimo špičku, aby se snížila zatížení serveru a zlepšila se doba odezvy. - Monitorujte a udržujte vysokou dostupnost a výkon hostitelských serverů seznamu CRL.
AADSTS2205013: Probíhá stahování seznamu odvolaných certifikátů (CRL). Zkuste to prosím znovu za několik minut.	K tomuto problému dochází, když více pokusů o ověření současně aktivuje stahování seznamu CRL a systém stále zpracovává aktuální načtení seznamu CRL.	– Když vyprší platnost seznamu CRL nebo brzy vyprší platnost, může souběžné pokusy o stažení nového seznamu CRL způsobit více uživatelů, kteří se přihlašují současně. – Microsoft Entra ID používá zamykání mechanismus, který zabraňuje souběžným stahováním stejného seznamu CRL, aby se snížila zátěž a potenciální podmínky časování. To způsobí dočasné odepření některých žádostí o ověření s touto zprávou opakování. – Velké skupiny uživatelů nebo velké nárůsty přihlášení můžou zvýšit frekvenci této chyby.	– Počkejte několik minut, než se probíhající stahování seznamu CRL dokončí, než se znovu přihlásíte. – Před vypršením platnosti se ujistěte, že se seznamy CRL publikují a aktualizují pravidelně, aby se snížil počet vynucených opakovaných stahování.
AADSTS2205014:Pokus o stažení seznamu odvolaných certifikátů (CRL) z {uri} během interaktivního přihlašování překročil maximální povolenou velikost ({size} bajtů). Zřizují se seznamy CRL s limitem stahování služby seznamu CRL. Zkuste to prosím znovu za několik minut.	Soubor CRL, který se microsoft Entra ID pokusil stáhnout, je větší než limit velikosti nastavený službou. Microsoft Entra se pokusí stáhnout na pozadí s vyššími limity.	– Soubor seznamu CRL publikovaný certifikační autoritou je příliš velký, často kvůli vysokému počtu odvolaných certifikátů. – K velkým seznamům CRL může dojít v případě, že se odvolané certifikáty nevyčistí nebo pokud certifikační autorita uchovává dlouhá období vypršení platnosti dat odvolání. – Velké velikosti seznamu CRL zvyšují dobu stahování a spotřebu prostředků během ověřování na základě certifikátů.	– Odeberte zastaralé nebo prošlé odvolané certifikáty z databáze certifikační autority. - Zkraťte dobu platnosti seznamu CRL a zvyšte frekvenci publikování, aby byly velikosti seznamu CRL spravovatelné. – Implementujte rozdílové seznamy CRL pro distribuci pouze informací o přírůstkových odvoláních a snížení šířky pásma.
AADSTS2205015: Ověření seznamu odvolaných certifikátů (CRL) selhalo. Očekávaný SubjectKeyIdentifier {expectedSKI} neodpovídá atributu AuthorityKeyIdentifier CRL {crlAK}. Obraťte se na správce.	Kryptografický podpis v seznamu CRL nelze ověřit, protože seznam CRL byl podepsán certifikátem, jehož identifikátor klíče subjektu (SKI) neodpovídá identifikátoru klíče autority (AKI) očekávanému id Microsoft Entra.	– Certifikát certifikační autority použitý k podepsání seznamu odvolaných certifikátů se změnil, ale nový ski nebyl aktualizován nebo synchronizován v seznamu důvěryhodných certifikátů. – Seznamu CRL je zastaralé nebo neodpovídající kvůli chybné konfiguraci v hierarchii infrastruktury veřejných klíčů. – Nesprávné nebo chybějící zprostředkující certifikáty certifikační autority v seznamu důvěryhodných certifikátů. – Podpisový certifikát CRL nemusí mít odpovídající použití klíče pro podepisování seznamů CRL.	- Zkontrolujte identifikátor klíče subjektu (SKI) certifikátu certifikační autority, který podepisuje CRL, odpovídá identifikátoru klíče autority (AKI) v seznamu CRL. – Ověřte, že se podpisový certifikát certifikační autority nahraje a důvěřuje v ID Microsoft Entra. – Ověřte, že certifikát certifikační autority použitý k podepsání seznamu CRL má povolené příslušné příznaky použití klíčů (například podepisování seznamu CRL) a ověřte, že je řetěz certifikátů nedotčený a nezalomený. - Nahrajte nebo aktualizujte správné kořenové a zprostředkující certifikáty certifikační autority v seznamu důvěryhodných certifikačních autorit microsoft Entra ID a ujistěte se, že je certifikát použitý k podepsání seznamu odvolaných certifikátů zahrnutý a správně nakonfigurovaný.
AADSTS7000214: Certifikát byl odvolán.	Certifikát byl odvolán.	- Certifikát uvedený v seznamu CRL	- Nahradit odvolaný certifikát – Prozkoumání důvodu odvolání u certifikační autority – Monitorování životního cyklu a prodloužení platnosti certifikátu

Nejčastější dotazy

V následujících částech najdete běžné otázky a odpovědi související se seznamy odvolaných certifikátů.

Je pro velikost seznamu CRL limit?

Platí následující omezení velikosti seznamu CRL:

• Limit pro interaktivní stahování přihlašování: 20 MB (Globální Azure zahrnuje GCC), 45 MB pro (Azure US Government, včetně GCC High, Dept. Defense)
• Limit stahování služby: 65 MB (Globální azure zahrnuje GCC), 150 MB pro (Azure US Government, včetně GCC High, Oddělení obrany)

Když stahování seznamu CRL selže, zobrazí se následující zpráva:

Seznam odvolaných certifikátů stažený z {uri} překročil maximální povolenou velikost ({size} bajtů) pro seznamy CRL v MICROSOFT Entra ID. Zkuste to znovu za několik minut. Pokud problém přetrvává, obraťte se na správce tenanta.

Stahování zůstává na pozadí s vyššími limity.

Kontrolujeme dopad těchto limitů a plánujeme je odebrat.

Zobrazuje se platná sada koncových bodů seznamu odvolaných certifikátů (CRL), ale proč se mi nezobrazuje odvolání seznamu odvolaných certifikátů?

• Ujistěte se, že je distribuční bod seznamu CRL nastavený na platnou adresu URL PROTOKOLU HTTP.
• Ujistěte se, že distribuční bod seznamu CRL je přístupný prostřednictvím internetové adresy URL.
• Ujistěte se, že velikosti seznamu CRL jsou v mezích limitů.

Jak můžu okamžitě odvolat certifikát?

Pokud chcete certifikát odvolat ručně, postupujte podle pokynů.

Jak můžu pro konkrétní certifikační autoritu zapnout nebo vypnout kontrolu odvolání certifikátu?

Doporučujeme zakázat kontrolu seznamu odvolaných certifikátů ( CRL), protože nebudete moct odvolat certifikáty. Pokud ale potřebujete prozkoumat problémy s kontrolou seznamu CRL, můžete certifikační autoritu vyloučit z kontroly seznamu CRL v Centru pro správu Microsoft Entra. V zásadách metod ověřování CBA vyberte Konfigurovat a pak vyberte Přidat výjimku. Zvolte certifikační autoritu, kterou chcete vyloučit, a vyberte Přidat.

Po nakonfigurování koncového bodu seznamu CRL se koncoví uživatelé nemůžou přihlásit a zobrazí se AADSTS500173: CRL nelze stáhnout. Neplatný stavový kód Zakázáno z distribučního bodu seznamu CRL."

Pokud problém brání microsoftu Entra ve stažení seznamu CRL, příčinou jsou často omezení brány firewall. Ve většině případů můžete tento problém vyřešit aktualizací pravidel brány firewall tak, aby povolte požadované IP adresy, aby společnost Microsoft Entra mohla úspěšně stáhnout CRL. Další informace naleznete v tématu Seznam IPAddress společnosti Microsoft.

Jak zjistím seznam CRL pro certifikační autoritu nebo jak můžu vyřešit chybu "AADSTS2205015: Seznam odvolaných certifikátů (CRL) selhal ověření podpisu"?

Stáhněte seznam CRL a porovnejte certifikát certifikační autority a informace o seznamu CRL a ověřte, jestli crlDistributionPoint je hodnota platná pro certifikační autoritu, kterou chcete přidat. CRL můžete nakonfigurovat na odpovídající certifikační autoritu tak, že shodíte identifikátor klíče subjektu vystavitele certifikační autority (SKI) s identifikátorem klíče autority (AKI) seznamu CRL (CA Issuer SKI == CRL AKI).

Následující tabulka a obrázek ukazují, jak mapovat informace z certifikátu certifikační autority na atributy staženého seznamu CRL.

Informace o certifikátu certifikační autority	=	Stažené informace o seznamu CRL
Předmět	=	Issuer
Identifikátor klíče subjektu (SKI)	=	Identifikátor klíče autority (KeyID)

• Seznam odvolaných certifikátů Microsoft Entra CBA

Další kroky

• Přehled Microsoft Entra CBA
• Jak nakonfigurovat Microsoft Entra CBA
• Microsoft Entra CBA na zařízeních s iOSem
• Microsoft Entra CBA na zařízeních s Androidem
• Přihlášení do systému Windows pomocí čipové karty s Microsoft Entra CBA
• ID uživatele certifikátu
• Migrace federovaných uživatelů
• Nejčastější dotazy
• Řešení potíží s Microsoft Entra CBA