Lista de revocación de certificados (CRL) de autenticación basada en certificados de Microsoft Entra

Una lista de revocación de certificados (CRL) es una lista de certificados revocados por la entidad emisora de certificados (CA) antes de su fecha de expiración programada. Las CRL son esenciales para mantener la integridad de la autenticación. Cuando se revoca un certificado, se marca como que no es de confianza aunque no haya expirado. La incorporación de CRL en la autenticación basada en certificados garantiza que solo se aceptan certificados válidos y no revocados, y el identificador de Entra de Microsoft bloquea cualquier intento mediante un certificado revocado.

Las CRL están firmadas digitalmente por la ENTIDAD de certificación y se publican en ubicaciones accesibles públicamente, lo que les permite descargarlas a través de Internet para comprobar el estado de revocación de los certificados. Cuando un cliente presenta un certificado para la autenticación, el sistema comprueba la CRL para determinar si se ha revocado el certificado.

Si el certificado se encuentra en la CRL, se rechaza el intento de autenticación. Normalmente, las CRL se actualizan periódicamente y las organizaciones deben asegurarse de que tienen la versión más reciente de la CRL para tomar decisiones precisas sobre la validez del certificado.

En la autenticación basada en certificados (CBA) de Microsoft Entra, cuando se configuran las CRL, el sistema debe recuperar y validar la CRL durante la autenticación. Si microsoft Entra ID no puede acceder al punto de conexión crL, se produce un error en la autenticación porque la CRL es necesaria para confirmar la validez del certificado.

Funcionamiento de una CRL en la autenticación basada en certificados

Una CRL funciona proporcionando un mecanismo para comprobar la validez de los certificados usados para la autenticación. El proceso implica varios pasos clave:

• Emisión de certificados: Cuando una ENTIDAD de certificación emite un certificado, es válido hasta su fecha de expiración a menos que se revoque anteriormente. Cada certificado contiene una clave pública y está firmada por la ENTIDAD de certificación.

• Revocación: Si es necesario revocar un certificado (por ejemplo, si la clave privada está en peligro o el certificado ya no es necesario), la ENTIDAD de certificación la agrega a la CRL.

• Distribución crL: La ENTIDAD de certificación publica la CRL en una ubicación accesible por los clientes, como un servidor web o un servicio de directorio. La CRL suele estar firmada por la ENTIDAD de certificación para garantizar su integridad. Si la CRL no está firmada por la ENTIDAD de certificación, se produce un error de criptografía AADSTS2205015 y sigue los pasos descritos en Preguntas más frecuentes para solucionar el problema.

• Comprobación de cliente: Cuando un cliente presenta un certificado para la autenticación, el sistema recupera la CRL para cada entidad de certificación de la cadena de certificados desde sus ubicaciones publicadas y comprueba si hay ca revocadas. Si alguna ubicación crL no está disponible, se produce un error en la autenticación porque el sistema no puede comprobar el estado de revocación del certificado.

• Autenticación: Si el certificado se encuentra en la CRL, se rechaza el intento de autenticación y se deniega el acceso al cliente. Si el certificado no está en la CRL, la autenticación continúa como normal.

• Actualizaciones de CRL: La CRL se actualiza periódicamente por la entidad de certificación y los clientes deben asegurarse de que tienen la versión más reciente para tomar decisiones precisas sobre la validez del certificado. El sistema almacena en caché la CRL durante un período determinado para reducir el tráfico de red y mejorar el rendimiento, pero también comprueba si hay actualizaciones periódicamente.

Descripción del proceso de revocación de certificados en la autenticación basada en certificados de Microsoft Entra

El proceso de revocación de certificados permite a los administradores de directivas de autenticación revocar un certificado emitido previamente para que no se pueda usar para la autenticación futura.

Los administradores de directivas de autenticación configuran el punto de distribución CRL durante el proceso de configuración de emisores de confianza en el inquilino de Microsoft Entra. Cada emisor de confianza debe tener una CRL a la que puede hacer referencia mediante una dirección URL accesible desde Internet. Para obtener más información, vea Configurar entidades de certificación.

Microsoft Entra ID solo admite un punto de conexión CRL y solo admite HTTP o HTTPS. Se recomienda usar HTTP en lugar de HTTPS para la distribución crL. Las comprobaciones de CRL se producen durante la autenticación basada en certificados y cualquier retraso o error al recuperar la CRL puede bloquear la autenticación. El uso de HTTP minimiza la latencia y evita las posibles dependencias circulares causadas por HTTPS (lo que requiere la validación de certificados). Para garantizar la confiabilidad, hospede las CRL en puntos de conexión HTTP de alta disponibilidad y compruebe que son accesibles a través de Internet.

Importante

El tamaño máximo de una CRL para microsoft Entra ID para descargar correctamente en un inicio de sesión interactivo es de 20 MB en el identificador público de Microsoft Entra y 45 MB en nubes de Azure US Government. El tiempo necesario para descargar la CRL no debe superar los 10 segundos. Si microsoft Entra ID no puede descargar una CRL, se producirá un error en las autenticaciones basadas en certificados emitidos por la ca correspondiente. Como procedimiento recomendado para mantener los archivos CRL dentro de los límites de tamaño, mantenga la vigencia del certificado dentro de límites razonables y limpie los certificados expirados.

1. Cuando un usuario realiza un inicio de sesión interactivo con un certificado, microsoft Entra ID descarga y almacena en caché la lista de revocación de certificados (CRL) del cliente desde su entidad de certificación para comprobar si los certificados se revocan durante la autenticación del usuario. Microsoft Entra usa el atributo SubjectKeyIdentifier en lugar de SubjectName para compilar la cadena de certificados. Cuando las CRL están habilitadas, las configuraciones de PKI deben incluir los valores SubjectKeyIdentifier y Identificador de clave de autoridad para garantizar la comprobación de revocación adecuada.

   SubjectKeyIdentifier proporciona un identificador único inmutable para la clave pública del certificado, lo que hace que sea más confiable que SubjectName, que puede cambiar o duplicarse entre certificados. Este atributo garantiza la creación de cadenas precisa y la validación crL coherente en entornos PKI complejos.

   Importante

   Si un administrador de directivas de autenticación omite la configuración de la CRL, Microsoft Entra ID no realiza ninguna comprobación de CRL durante la autenticación basada en certificados del usuario. Este comportamiento puede ser útil para la solución de problemas inicial, pero no se debe tener en cuenta para su uso en producción.

   • CrL base solo: si solo se configura la CRL base, el id. de Microsoft Entra se descarga y almacena en caché hasta la marca de tiempo Siguiente actualización. Se produce un error en la autenticación si la CRL ha expirado y no se puede actualizar debido a problemas de conectividad o si el punto de conexión crL no proporciona una versión actualizada. Microsoft Entra aplica estrictamente el control de versiones CRL: cuando se publica una nueva CRL, su número de CRL debe ser mayor que la versión anterior.

     CrL Number garantiza el control de versiones monotónicos, lo que impide los ataques de reproducción en los que se podría volver a introducir una CRL anterior para omitir las comprobaciones de revocación. Al requerir que cada crL nueva tenga un número de versión superior, el identificador de Microsoft Entra garantiza que siempre se usan los datos de revocación más recientes.

   • CRL base + delta: cuando ambos están configurados, ambos deben ser válidos y accesibles. Si falta o ha expirado, se produce un error en la validación de certificados según los estándares RFC 5280.

2. Se produce un error en la autenticación basada en certificados de usuario si una CRL está configurada para el emisor de confianza y el identificador de Microsoft Entra no puede descargar la CRL debido a restricciones de disponibilidad, tamaño o latencia. Esta limitación hace que el punto de conexión crL sea un único punto de error crítico, lo que reduce la resistencia de la autenticación basada en certificados de Microsoft Entra ID. Para mitigar este riesgo, se recomienda usar soluciones de alta disponibilidad que garantizan el tiempo de actividad continuo para los puntos de conexión crL.

3. Si la CRL supera el límite interactivo de una nube, se produce un error en el inicio de sesión inicial del usuario con el siguiente error:

   The Certificate Revocation List (CRL) downloaded from {uri} has exceeded the maximum allowed size ({size} bytes) for CRLs in Microsoft Entra ID. Try again in few minutes. If the issue persists, contact your tenant administrators.

4. Microsoft Entra ID intenta descargar la CRL sujeta a los límites del lado del servicio (45 MB en el identificador público de Microsoft Entra y 150 MB en Azure para la Administración Pública de EE. UU.).

5. Los usuarios pueden reintentar la autenticación después de unos minutos. Si se revoca el certificado del usuario y aparece en la CRL, se produce un error en la autenticación.

   Importante

   La revocación de tokens de un certificado revocado no es inmediata debido al almacenamiento en caché de CRL. Si una CRL ya está almacenada en caché, los certificados recién revocados no se detectan hasta que la caché se actualice con una CRL actualizada. Las CRL delta suelen incluir estas actualizaciones, por lo que la revocación surte efecto una vez cargada la CRL delta. Si no se usan CRL delta, la revocación depende del período de validez de la CRL base. Los administradores solo deben revocar los tokens manualmente cuando la revocación inmediata es fundamental, como en escenarios de alta seguridad. Para obtener más información, consulte Configuración de la revocación.

6. No se admite el Protocolo de estado de certificado en línea (OCSP) debido a motivos de rendimiento y confiabilidad. En lugar de descargar la CRL en cada conexión por el explorador cliente para OCSP, microsoft Entra ID la descarga una vez en el primer inicio de sesión y la almacena en caché. Esta acción mejora el rendimiento y la confiabilidad de la comprobación de CRL. También indexamos la memoria caché para que la búsqueda sea mucho más rápida cada vez.

7. Si Microsoft Entra descarga correctamente la CRL, almacena en caché y reutiliza la CRL para cualquier uso posterior. Respeta la fecha de actualización Siguiente y, si está disponible, Siguiente fecha de publicación de CRL (usada por las CA de Windows Server) en el documento CRL.

8. Si el certificado del usuario aparece como revocado en la CRL, se produce un error en la autenticación de usuario.

   

   Importante

   Debido a la naturaleza del almacenamiento en caché de CRL y los ciclos de publicación, se recomienda encarecidamente que, si hay una revocación de certificados, también revocará todas las sesiones del usuario afectado en el identificador de Microsoft Entra.

9. Microsoft Entra ID intenta capturar previamente una nueva CRL desde el punto de distribución si el documento CRL almacenado en caché ha expirado. Si CRL tiene una "Fecha de publicación siguiente", Microsoft Entra realiza una captura previa de CRL incluso si la CRL en la memoria caché no ha expirado. A partir de ahora, no hay forma de forzar o volver a intentar manualmente la descarga de la CRL.

   Nota:

   Microsoft Entra ID comprueba la CRL de la entidad de certificación emisora y otras CA en la cadena de confianza de PKI hasta la ca raíz. Tenemos un límite de hasta 10 CA del certificado de cliente de hoja para la validación de CRL en la cadena PKI. La limitación es asegurarse de que un actor incorrecto no reduzca el servicio cargando una cadena PKI con un gran número de CA con un tamaño crL mayor. Si la cadena de PKI del inquilino tiene más de 10 CA y, si hay un riesgo de CA, los administradores de directivas de autenticación deben quitar el emisor de confianza en peligro de la configuración del inquilino de Microsoft Entra. Para obtener más información, consulte Captura previa de CRL.

Configuración de la revocación

Para revocar un certificado de cliente, Microsoft Entra ID recupera la lista de revocación de certificados (CRL) de las direcciones URL cargadas como parte de la información de la entidad de certificación y la almacena en caché. La última marca de tiempo de publicación (propiedad Fecha efectiva ) en la CRL se usa para asegurarse de que la CRL sigue siendo válida. De forma periódica, se hace referencia a la CRL para revocar el acceso a los certificados que forman parte de la lista.

Revocación inmediata de sesiones con Entra CBA

Hay muchos escenarios que podrían requerir que un administrador revoque inmediatamente todos los tokens de sesión para que se revoque todo el acceso a un usuario. Estos escenarios incluyen

• cuentas en peligro
• Terminación del empleado
• Interrupción de Entra donde se usan las credenciales almacenadas en caché, que no incluyen la validación de la lista de revocación de certificados (CRL)
• otras amenazas internas.

Si se requiere realizar una revocación más instantánea (por ejemplo, si un usuario pierde un dispositivo), se puede invalidar el token de autorización del usuario. Para invalidar el token de autorización, establezca el campo StsRefreshTokensValidFrom para este usuario en particular mediante Windows PowerShell. Debe actualizar el campo StsRefreshTokensValidFrom para cada usuario para el que quiera revocar el acceso.

Para asegurarse de que la revocación persiste, debe establecer la fecha efectiva de la CRL en una fecha posterior al valor establecido por StsRefreshTokensValidFrom y asegurarse de que el certificado en cuestión está en la CRL.

En los pasos siguientes se describe el proceso para actualizar y invalidar el token de autorización estableciendo el campo StsRefreshTokensValidFrom .

# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"

# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"

# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom

La fecha establecida debe ser futura. De lo contrario, no se establece la propiedad StsRefreshTokensValidFrom. Si la fecha está en el futuro, StsRefreshTokensValidFrom se establece en la hora actual (no en la fecha indicada por Set-MsolUser comando).

Aplicación de la validación de CRL para entidades de certificación

Al cargar ca en el almacén de confianza de Microsoft Entra, no es necesario incluir una CRL ni el atributo CrlDistributionPoint. Puede cargar una ENTIDAD de certificación sin un punto de conexión CRL y no se produce un error en la autenticación basada en certificados si una ENTIDAD de certificación emisora no especifica una CRL.

Para reforzar la seguridad y evitar configuraciones incorrectas, un administrador de directivas de autenticación puede requerir que se produzca un error en la autenticación de CBA si una ENTIDAD de certificación que emite un certificado de usuario final no configura una CRL.

Habilitación de la validación de CRL

1. Seleccione Requerir validación de CRL (recomendado) para habilitar la validación de CRL.

   

   Al habilitar esta configuración, CBA produce un error si el certificado de usuario final procede de una ENTIDAD de certificación que no configura una CRL.

2. Un administrador de directivas de autenticación puede excluir una entidad de certificación si su CRL tiene problemas que deben corregirse. Seleccione Agregar exención y elija todas las CA que se van a excluir.

   

3. Las CA de la lista exenta no necesitan configurar una CRL y los certificados de usuario final que emiten no producen un error en la autenticación.

   Seleccione las entidades de certificación y seleccione Añadir. Use el cuadro de texto Buscar para filtrar las listas de CA y seleccionar ca específicas.

   

Guía para configurar las CRL (base y delta CRL) para microsoft Entra ID

1. Publicar CRL accesibles:

   • Asegúrese de que la ENTIDAD de certificación publica tanto la CRL base como las CRL delta (si procede) en las direcciones URL accesibles desde Internet a través de HTTP.
   • Microsoft Entra ID no puede validar certificados si las CRL se hospedan en servidores solo internos. Las direcciones URL deben ser de alta disponibilidad, rendimiento y resistencia para evitar errores de autenticación debido a la falta de disponibilidad.
   • Valide la accesibilidad de CRL mediante la prueba de la dirección URL de CRL en un explorador y el uso de certutil -url para las comprobaciones de distribución.

2. Configurar direcciones URL de CRL en el identificador de Microsoft Entra:

   • Cargue el certificado público de ca en el identificador de Microsoft Entra y configure los puntos de distribución de CRL (CDP).
   • Dirección URL de CRL base: contiene todos los certificados revocados.
   • Dirección URL de CRL delta (opcional pero recomendada): contiene certificados revocados desde que se publicó la última CRL base.
   • Use herramientas como certutil para comprobar la validez de CRL y solucionar problemas de certificado y CRL localmente.

3. Establecer períodos de validez:

   • Establezca el período de validez de crL base lo suficientemente largo como para equilibrar la sobrecarga operativa y la seguridad (normalmente días a semanas).
   • Establezca el período de validez delta crL más corto (normalmente 24 horas) para permitir el reconocimiento oportuno de certificados revocados.
   • La validez de crL delta más corta mejora la seguridad al reducir la ventana en la que los certificados revocados siguen siendo válidos, pero aumenta la carga de emisión y distribución.
   • La validez predeterminada recomendada de 24 horas para las CRL delta en servidores Windows es una seguridad y rendimiento estándar ampliamente aceptados.
   • Microsoft Entra ID está diseñado para controlar de forma eficaz las actualizaciones frecuentes de crL delta sin degradación del rendimiento y las mejoras en curso ayudan a mejorar esto aún más.
   • Microsoft Entra ID aplica mecanismos de limitación para protegerse frente a ataques DDoS durante las descargas de CRL delta, lo que puede dar lugar a errores temporales como "AADSTS2205013" para un pequeño subconjunto de usuarios.

4. Garantizar la alta disponibilidad y el rendimiento:

   • Hospede las CRL en servidores web confiables o redes de entrega de contenido (CDN) para minimizar retrasos o errores durante la recuperación.
   • Supervise la publicación y accesibilidad de CRL de forma proactiva.

5. Proteja contra ataques de denegación de servicio (DDoS) distribuidos y de limitación:

   • Para proteger los servicios y usuarios de Microsoft Entra ID, la limitación se aplica a las operaciones de captura de CRL durante una carga alta o un posible abuso.
   • Programe ciclos de publicación y expiración de CRL durante las horas de poca actividad para minimizar la probabilidad de limitación que afecta a los usuarios.

6. Administración del tamaño de CRL

   • Mantenga las cargas crL lo más pequeñas posible, idealmente mediante la emisión delta CRL frecuente y el archivado de entradas antiguas, para mejorar la velocidad de captura y reducir el ancho de banda.

7. Habilitación de la validación de CRL

   • Aplique la validación de CRL en las directivas de identificador de Entra de Microsoft para asegurarse de que se detectan certificados revocados. Para obtener más información, consulte Habilitación de la validación de CRL.
   • Considere la omisión temporal de la comprobación de CRL solo como último recurso durante la solución de problemas, con una comprensión de los riesgos de seguridad.

8. Prueba y supervisión

   • Realice pruebas periódicas para comprobar que las CRL son descargables y reconocidas correctamente por microsoft Entra ID.
   • Use la supervisión para detectar y corregir rápidamente cualquier problema de validación o disponibilidad de CRL.

Referencia de error de CRL

Código de error y mensaje	Description	Causas comunes	Recommendations
AADSTS500171: se ha revocado el certificado. Póngase en contacto con el administrador.	El certificado está en la CRL, lo que indica que se revoca.	El administrador revoca el certificado.	Si un certificado se incluye erróneamente en la CRL, haga que la ENTIDAD emisora vuelva a emitir la CRL con una lista actualizada que refleje con precisión las revocaciones previstas.
AADSTS500172: el certificado '{name}' emitido por '{issuer}' no es válido. Hora actual: '{curTime}'. Certificado NotBefore: '{startTime}'. Certificado NotAfter: '{endTime}'.	CRL no es válido en el tiempo.	Las CRL o las CRL diferenciales usadas para validar el certificado tienen problemas de tiempo, como CRL expirados o tiempos de validez o publicación configurados incorrectamente.	- Confirme que las fechas NotBefore y NotAfter del certificado abarcan correctamente la hora actual. - Compruebe que las CRL base y delta publicadas por la ENTIDAD de certificación no han expirado.
AADSTS500173: >no se puede descargar una lista de revocación de certificados (CRL). Código de estado {code} no válido del punto de distribución CRL. Póngase en contacto con el administrador.	CrL no se pudo descargar debido a problemas de punto de conexión.	- El punto de conexión CRL devuelve errores HTTP (como 403) - CRL expirado sin actualización	- Confirmar que el punto de conexión crL devuelve datos válidos - Asegúrese de que la entidad de certificación publica periódicamente las CRL actualizadas. - La dirección URL de CRL no es accesible debido a problemas de red, bloques de firewall o tiempo de inactividad del servidor. - Habilite crL fail-safe para bloquear certificados no verificables.
AADSTS500174: no se puede construir una lista de revocación de certificados (CRL) válida a partir de la respuesta.	Microsoft Entra ID no puede analizar ni usar la CRL recuperada del punto de distribución especificado.	- La dirección URL de CRL no es accesible debido a problemas de red, bloques de firewall o tiempo de inactividad del servidor. - El archivo CRL descargado está dañado, incompleto o con formato incorrecto. - Las direcciones URL de los campos CDP del certificado no apuntan a archivos CRL válidos ni están mal configurados.	- Compruebe la accesibilidad, la validez y la integridad de CRL. - Inspeccione el archivo CRL para detectar daños o contenido incompleto.
AADSTS500175: error en la comprobación de revocación porque falta la lista de revocación de certificados (CRL) de un certificado de la cadena.	Durante la comprobación de revocación de certificados, Microsoft Entra no pudo encontrar un segmento o parte necesarios de la lista de revocación de certificados (CRL).	- El archivo CRL descargado del punto de distribución de CRL (CDP) está dañado o truncado. - Publicación incorrecta o incompleta de la CRL por la ENTIDAD de certificación. - Problemas de red que provocan descargas crL incompletas o erróneas. - Configuración incorrecta de las direcciones URL del punto de distribución CRL o segmentos de archivo.	- Comprobación de la integridad de CRL - Volver a publicar o regenerar CRL - Comprobar la configuración de red y proxy - Asegurar la configuración correcta de CDP en todas las CA
AADSTS500176: la entidad de certificación que emitió el certificado no se ha configurado en el inquilino. Póngase en contacto con el administrador.	Microsoft Entra no pudo encontrar el certificado de entidad de certificación emisora en su almacén de certificados de confianza. Esto evita la validación correcta de la cadena de confianza del certificado de usuario.	- El certificado de ENTIDAD de certificación emisora (raíz o intermedio) no se carga ni se configura en la lista de certificados de confianza de Id. de Microsoft Entra. - La cadena de certificados almacenada en el cliente o dispositivo no se vincula correctamente a un certificado de entidad de certificación de confianza. - Referencias de identificador de clave de firmante (SKI) y identificador de clave de autoridad (AKI) no coincidentes o que faltan en la cadena de certificados. - Es posible que el certificado emisor haya expirado, revocado o no sea válido.	- El administrador de inquilinos debe cargar todos los certificados de entidad de certificación raíz e intermedio pertinentes en el almacén de certificados de confianza de Microsoft Entra a través del Centro de administración de Microsoft Entra. - Confirme que el SKI del certificado de entidad de certificación emisora coincide con el AKI en el certificado del usuario para garantizar una vinculación de cadena adecuada. - Use herramientas como certutil o OpenSSL para comprobar que la cadena de certificados completa está intacta, sin problemas y de confianza. - Reemplace los certificados de ENTIDAD de certificación expirados o revocados en el almacén de confianza para mantener la validez de la cadena.
AADSTS500177: lista de revocación de certificados (CRL) mal configurado. El punto de distribución de CRL delta se configura sin un punto de distribución crL base correspondiente. Póngase en contacto con el administrador.	Indica que la configuración de la ENTIDAD de certificación incluye un punto de distribución de CRL delta, pero falta el punto de distribución de CRL base correspondiente o no está configurado correctamente.	- Los puntos de distribución crL (CDP) configurados en los certificados o la configuración de CA no son válidos, inaccesibles o direcciones URL incorrectas. - La ENTIDAD de certificación no ha publicado correctamente la CRL o la CRL ha expirado, lo que provoca errores de validación. - Los dispositivos o los servicios de id. de Microsoft Entra no pueden acceder a las direcciones URL de CRL debido a reglas de firewall, restricciones de proxy o problemas de conectividad de red. - Configuración mal configurada en Microsoft Entra o en la entidad de certificación emisora relacionada con el control de CRL.	- Confirme y actualice los puntos de distribución crL a direcciones URL precisas y accesibles públicamente. - Asegúrese de que las CRL se publican y renuevan periódicamente antes de la expiración. Automatice la publicación de CRL si es posible. - Permitir el tráfico de red necesario a los puntos de distribución CRL mediante la actualización de reglas de firewall, proxy o dispositivo de seguridad. - Compruebe las CRL descargadas para daños o truncamientos y vuelva a publicar si es necesario. - Compruebe las configuraciones de IDENTIFICADOR y CA de Microsoft Entra relacionadas con la publicación, las direcciones URL y las directivas de validación de CRL.
AADSTS500178: no se pueden recuperar segmentos CRL válidos para {type}. Inténtelo de nuevo más tarde.	Microsoft Entra ID no puede descargar o procesar todos los segmentos necesarios de la lista de revocación de certificados (CRL) durante la validación de certificados.	- La CRL se publica en varios segmentos y faltan uno o varios segmentos, están dañados o inaccesibles. - Las restricciones de red o los firewalls bloquean el acceso a uno o varios segmentos CRL. - Es posible que los segmentos CRL disponibles hayan expirado o no se actualicen correctamente. - Direcciones URL incorrectas o entradas que faltan en los puntos de distribución CRL del certificado donde se hospedan los segmentos.	- Descargue manualmente todos los segmentos CRL desde sus puntos de distribución y compruebe la integridad y la validez. - Asegúrese de que todas las direcciones URL del segmento CRL están configuradas y accesibles correctamente. Actualice las configuraciones de certificados o ca si han cambiado las direcciones URL de CDP. - Confirme que la ENTIDAD de certificación publica y mantiene todos los segmentos CRL correctamente sin daños ni elementos que faltan.
AADSTS500179: se agota el tiempo de espera de validación de CRL. Inténtelo de nuevo más tarde.	La descarga crL agotó el tiempo de espera o se interrumpió.	- El tamaño de CRL supera los límites. - Latencia de red o inestabilidad	- Mantener el tamaño de CRL por debajo de 20 MB (Azure comercial) o 45 MB (Azure para la Administración Pública de EE. UU.) - Establezca Next Update el intervalo en al menos una semana. - Supervisar el rendimiento de la descarga de CRL a través de registros de inicio de sesión.
AADSTS500183: se ha revocado el certificado. Póngase en contacto con el administrador.	Error en el intento de autenticación porque el dispositivo cliente presentó un certificado revocado por la entidad de certificación emisora.	El certificado usado para la autenticación se encuentra en la lista de revocación de certificados (CRL) o marcado como revocado por la entidad de certificación.	- El administrador de inquilinos debe asegurarse de que el nuevo certificado se aprovisiona correctamente y confía en microsoft Entra ID. - Compruebe que las CRL y las CRL diferenciales publicadas por la ENTIDAD de certificación están actualizadas y accesibles para los dispositivos.
AADSTS2205011: la lista de revocación de certificados (CRL) descargada no tiene un formato de codificación ASN.1 válido. Póngase en contacto con el administrador.	El archivo CRL capturado por Microsoft Entra no está codificado correctamente después del estándar Abstract Syntax Notation One (ASN.1) Distinguished Encoding Rules (DER), que es necesario para analizar y validar los datos CRL.	- El archivo CRL está dañado o truncado durante la publicación o transmisión. - La CRL se generó o codificó incorrectamente por la ENTIDAD de certificación y no se ajusta a los estándares DER de ASN.1. - Las conversiones de formato de archivo (como la codificación base64/PEM incorrecta) dañan los datos CRL.	- Descargue manualmente la CRL e inspeccione con herramientas como openssl o analizadores ASN.1 especializados para confirmar si está dañado o con un formato incorrecto. - Regenerar y volver a publicar la CRL desde la CA, lo que garantiza el cumplimiento de los estándares de codificación de DER de ASN.1. - Asegúrese de que el software o las herramientas de CA que generan CRL cumplen con RFC 5280 y codifican correctamente las CRL en formato DER ASN.1.
AADSTS2205012: el intento de descargar la lista de revocación de certificados (CRL) de '{uri}' durante el inicio de sesión interactivo ha agotado el tiempo de espera. Estamos intentando volver a descargar. Inténtelo de nuevo en unos minutos.	Microsoft Entra ID no pudo recuperar el archivo CRL dentro del tiempo esperado a partir de la dirección URL especificada.	- Los servicios de Id. de Microsoft Entra no pueden acceder al punto de distribución de CRL debido a interrupciones de red, restricciones de firewall o errores de DNS. - El servidor que hospeda la CRL está inactivo, sobrecargado o no responde de forma oportuna. - Las CRL grandes tardan más tiempo en descargarse, lo que puede provocar tiempos de espera.	- Use las CRL delta para mantener los tamaños de archivo CRL más pequeños y actualizar con más frecuencia para reducir el tiempo de descarga. - Publicar o actualizar las CRL durante las horas de poca actividad para reducir la carga del servidor y mejorar los tiempos de respuesta. - Supervisar y mantener la alta disponibilidad y el rendimiento de los servidores de hospedaje crL.
AADSTS2205013: la descarga de lista de revocación de certificados (CRL) está actualmente en curso. Inténtelo de nuevo en unos minutos.	Se produce cuando varios intentos de autenticación desencadenan simultáneamente descargas de CRL y el sistema sigue procesando la recuperación de CRL actual.	- Cuando una CRL expira o está a punto de expirar, varios usuarios que inician sesión simultáneamente pueden provocar intentos simultáneos de descargar la CRL nueva. - Microsoft Entra ID aplica un mecanismo de bloqueo para evitar descargas simultáneas de la misma CRL para reducir la carga y las posibles condiciones de carrera. Esto hace que algunas solicitudes de autenticación se denieguen temporalmente con este mensaje de reintento. - Las grandes poblaciones de usuarios o las ráfagas de inicio de sesión intensivas pueden aumentar la frecuencia de este error.	- Espere unos minutos para que finalice la descarga de CRL en curso antes de reintentar el inicio de sesión. - Asegúrese de que las CRL se publican y actualizan periódicamente antes de la expiración para reducir las re-descargas forzadas.
AADSTS2205014:El intento de descargar la lista de revocación de certificados (CRL) de '{uri}' durante el inicio de sesión interactivo ha superado el tamaño máximo permitido ({size} bytes). La CRL se está aprovisionando con el límite de descarga del servicio de CRL, inténtelo de nuevo en unos minutos.	El archivo CRL Id. de Microsoft Entra intenta descargar es mayor que el límite de tamaño establecido por el servicio. Microsoft Entra intentará descargar en segundo plano con límites más altos.	- El archivo CRL publicado por la ENTIDAD de certificación es demasiado grande, a menudo debido a un gran número de certificados revocados. - Las CRL grandes pueden producirse si los certificados revocados no se limpian o si la ENTIDAD de certificación mantiene largos períodos de expiración para los datos de revocación. - Los tamaños de CRL grandes aumentan los tiempos de descarga y el consumo de recursos durante la autenticación basada en certificados.	- Quitar certificados obsoletos o expirados revocados de la base de datos de CA. - Acortar los períodos de validez de crL y aumentar la frecuencia de publicación para mantener los tamaños crL administrables. - Implemente las CRL diferenciales para distribuir solo la información de revocación incremental y reducir el ancho de banda.
AADSTS2205015: no se pudo validar la firma de la lista de revocación de certificados (CRL). El SubjectKeyIdentifier esperado {expectedSKI} no coincide con AuthorityKeyIdentifier {crlAK}de la CRL. Póngase en contacto con el administrador.	No se pudo validar la firma criptográfica en la CRL porque la CRL estaba firmada por un certificado cuyo identificador de clave de sujeto (SKI) no coincide con el identificador de clave de autoridad (AKI) esperado por microsoft Entra ID.	- El certificado de ENTIDAD de certificación usado para firmar la CRL cambió, pero el nuevo SKI no se actualizó ni se sincronizó en la lista de certificados de confianza. - La CRL está obsoleta o no coincide debido a una configuración incorrecta en la jerarquía de PKI. - Certificados de ENTIDAD de certificación intermedios incorrectos o que faltan en la lista de certificados de confianza. - Es posible que el certificado de firma de CRL no tenga el uso de clave adecuado para firmar las CRL.	- Compruebe el identificador de clave de sujeto (SKI) de la firma del certificado de entidad de certificación que la CRL coincide con el identificador de clave de autoridad (AKI) en la CRL. - Confirme que el certificado de entidad de certificación de firma se carga y es de confianza en Microsoft Entra ID. - Valide que el certificado de ENTIDAD de certificación usado para firmar la CRL tenga habilitadas las marcas de uso de claves adecuadas (como la firma de CRL) y compruebe que la cadena de certificados está intacta y no se ha liberado. - Cargue o actualice los certificados de entidad de certificación raíz e intermedio correctos en la lista de entidades de certificación de confianza de Microsoft Entra ID y asegúrese de que el certificado usado para firmar la CRL está incluido y configurado correctamente.
AADSTS7000214: se ha revocado el certificado.	Se ha revocado el certificado.	- Certificado enumerado en CRL	- Reemplazar el certificado revocado - Investigar el motivo de revocación con ca - Supervisar el ciclo de vida y la renovación de certificados

Preguntas más frecuentes

En estas secciones siguientes se tratan las preguntas y respuestas comunes relacionadas con las listas de revocación de certificados.

¿Hay un límite para el tamaño de CRL?

Se aplican los siguientes límites de tamaño crL:

• Límite de descarga de inicio de sesión interactivo: 20 MB (Azure Global incluye GCC), 45 MB para (Azure US Government, incluye GCC High, Dept. of Defense)
• Límite de descarga del servicio: 65 MB (Azure Global incluye GCC), 150 MB para (Azure US Government, incluye GCC High, Dept. of Defense)

Cuando se produce un error en la descarga de una CRL, aparece el siguiente mensaje:

"La lista de revocación de certificados (CRL) descargada de {uri} ha superado el tamaño máximo permitido ({size} bytes) para las CRL en microsoft Entra ID. Inténtelo de nuevo en pocos minutos. Si el problema persiste, póngase en contacto con los administradores de inquilinos".

La descarga permanece en segundo plano con límites más altos.

Estamos revisando el impacto de estos límites y tenemos planes para quitarlos.

Veo un conjunto de puntos de conexión válidos de lista de revocación de certificados (CRL), pero ¿por qué no veo ninguna revocación de CRL?

• Asegúrese de que el punto de distribución crL esté establecido en una dirección URL HTTP válida.
• Asegúrese de que el punto de distribución CRL sea accesible a través de una dirección URL accesible desde Internet.
• Asegúrese de que los tamaños de CRL están dentro de los límites.

¿Cómo revoco instantáneamente un certificado?

Siga los pasos para revocar manualmente un certificado.

¿Cómo puedo activar o desactivar la comprobación de revocación de certificados para una entidad de certificación determinada?

Se recomienda deshabilitar la comprobación de la lista de revocación de certificados (CRL) porque no podrá revocar certificados. Sin embargo, si necesita investigar problemas con la comprobación de CRL, puede excluir una ENTIDAD de certificación de la comprobación de CRL en el Centro de administración de Microsoft Entra. En la directiva Métodos de autenticación de CBA, seleccione Configurar y, a continuación, seleccione Agregar exención. Elija la ENTIDAD de certificación que desea excluir y seleccione Agregar.

Después de configurar un punto de conexión CRL, los usuarios finales no pueden iniciar sesión y ven "AADSTS500173: No se puede descargar CRL. Código de estado no válido Prohibido desde el punto de distribución CRL".

Cuando un problema impide que Microsoft Entra descargue la CRL, la causa suele ser restricciones de firewall. En la mayoría de los casos, puede resolver el problema mediante la actualización de reglas de firewall para permitir las direcciones IP necesarias para que Microsoft Entra pueda descargar correctamente la CRL. Para obtener más información, consulte Lista de direcciones IP de Microsoft.

¿Cómo encuentro la CRL para una entidad de certificación o cómo se soluciona el error "AADSTS2205015: La lista de revocación de certificados (CRL) no pudo validar la firma"?

Descargue la CRL y compare el certificado de ENTIDAD de certificación y la información de CRL para validar que el crlDistributionPoint valor es válido para la ENTIDAD de certificación que desea agregar. Puede configurar la CRL en la ENTIDAD de certificación correspondiente si coincide con el identificador de clave de sujeto del emisor (SKI) de la entidad con el identificador de clave de autoridad (AKI) de la CRL (CA Issuer SKI == CRL AKI).

En la tabla y la ilustración siguientes se muestra cómo asignar información del certificado de CA a los atributos de la CRL descargada.

Información del certificado de ENTIDAD de certificación	=	Información de CRL descargada
Asunto	=	Emisor
Identificador de clave del firmante (SKI)	=	Identificador de clave de autoridad (KeyID)

• Lista de revocación de certificados de Microsoft Entra CBA

Pasos siguientes

• Introducción a Microsoft Entra CBA
• Cómo configurar Microsoft Entra CBA
• Microsoft Entra CBA en dispositivos iOS
• Autenticación basada en certificados de Microsoft Entra en dispositivos Android
• Inicio de sesión de tarjeta inteligente de Windows con la CBA de Microsoft Entra
• Identificadores de usuario de certificado
• Cómo migrar de usuarios federados
• Preguntas más frecuentes
• Resolución de problemas de autenticación basada en certificados de Microsoft Entra