Elenco di revoche di certificati (CRL) basato su certificati Microsoft Entra

Un elenco di revoche di certificati (CRL) è un elenco di certificati revocati dall'autorità di certificazione emittente prima della data di scadenza pianificata. I CRL sono essenziali per mantenere l'integrità dell'autenticazione. Quando un certificato viene revocato, viene contrassegnato come non attendibile anche se non è scaduto. L'incorporamento di CRL nell'autenticazione basata su certificati garantisce che vengano accettati solo certificati validi e non revocati e Microsoft Entra ID blocca qualsiasi tentativo usando un certificato revocato.

I CRL sono firmati digitalmente dalla CA e pubblicati in percorsi accessibili pubblicamente, consentendo loro di essere scaricati tramite Internet per verificare lo stato di revoca dei certificati. Quando un client presenta un certificato per l'autenticazione, il sistema controlla il CRL per determinare se il certificato è stato revocato.

Se il certificato viene trovato nel CRL, il tentativo di autenticazione viene rifiutato. I CRL vengono in genere aggiornati periodicamente e le organizzazioni devono assicurarsi di avere la versione più recente del CRL per prendere decisioni accurate sulla validità del certificato.

In Microsoft Entra certificate-based authentication (CBA), quando sono configurati CRL, il sistema deve recuperare e convalidare il CRL durante l'autenticazione. Se l'ID Microsoft Entra non riesce ad accedere all'endpoint CRL, l'autenticazione ha esito negativo perché è necessario confermare la validità del certificato.

Funzionamento di un CRL nell'autenticazione basata su certificati

Un CRL funziona fornendo un meccanismo per verificare la validità dei certificati usati per l'autenticazione. Il processo prevede diversi passaggi chiave:

• Rilascio di certificati: Quando un certificato viene rilasciato da una CA, è valido fino alla data di scadenza, a meno che non venga revocato in precedenza. Ogni certificato contiene una chiave pubblica e viene firmato dalla CA.

• Revoca: Se è necessario revocare un certificato ( ad esempio, se la chiave privata è compromessa o il certificato non è più necessario), la CA lo aggiunge al CRL.

• Distribuzione CRL: La CA pubblica il CRL in un percorso accessibile dai client, ad esempio un server Web o un servizio directory. Il CRL viene in genere firmato dalla CA per garantire l'integrità. Se il CRL non è firmato dalla CA, viene generato un errore di crittografia AADSTS2205015 e seguire la procedura descritta in Domande frequenti per risolvere il problema.

• Controllo client: Quando un client presenta un certificato per l'autenticazione, il sistema recupera il CRL per ogni CA nella catena di certificati dai percorsi pubblicati e verifica la presenza di eventuali ca revocate. Se un percorso CRL non è disponibile, l'autenticazione non riesce perché il sistema non è in grado di verificare lo stato di revoca del certificato.

• Autenticazione: Se il certificato viene trovato nel CRL, il tentativo di autenticazione viene rifiutato e il client viene negato l'accesso. Se il certificato non è incluso nel CRL, l'autenticazione procede normalmente.

• Aggiornamenti CRL: Il CRL viene aggiornato periodicamente dalla CA e i client devono assicurarsi di avere la versione più recente per prendere decisioni accurate sulla validità del certificato. Il sistema memorizza nella cache il CRL per un determinato periodo per ridurre il traffico di rete e migliorare le prestazioni, ma verifica regolarmente la disponibilità di aggiornamenti.

Informazioni sul processo di revoca dei certificati nell'autenticazione basata su certificato Microsoft Entra

Il processo di revoca dei certificati consente agli amministratori dei criteri di autenticazione di revocare un certificato rilasciato in precedenza in modo che non possa essere usato per l'autenticazione futura.

Gli amministratori dei criteri di autenticazione configurano il punto di distribuzione CRL durante il processo di configurazione per le autorità emittenti attendibili nel tenant di Microsoft Entra. Ogni autorità emittente attendibile deve avere un CRL a cui è possibile fare riferimento usando un URL con connessione Internet. Per altre informazioni, vedere Configurare le autorità di certificazione.

Microsoft Entra ID supporta un solo endpoint CRL e supporta solo HTTP o HTTPS. È consigliabile usare HTTP anziché HTTPS per la distribuzione CRL. I controlli CRL vengono eseguiti durante l'autenticazione basata su certificati e qualsiasi ritardo o errore nel recupero del CRL può bloccare l'autenticazione. L'uso di HTTP riduce al minimo la latenza ed evita potenziali dipendenze circolari causate da HTTPS (che richiede la convalida del certificato). Per garantire l'affidabilità, ospitare CRL su endpoint HTTP a disponibilità elevata e verificare che siano accessibili tramite Internet.

Importante

La dimensione massima di un CRL per Microsoft Entra ID da scaricare correttamente in un accesso interattivo è di 20 MB in MICROSOFT Entra ID pubblico e 45 MB nei cloud di Azure US Government. Il tempo necessario per scaricare il CRL non deve superare i 10 secondi. Se Microsoft Entra ID non è in grado di scaricare un CRL, le autenticazioni basate su certificati usando i certificati rilasciati dalla CA corrispondente hanno esito negativo. Come procedura consigliata per mantenere i file CRL entro i limiti di dimensioni, mantenere la durata dei certificati entro limiti ragionevoli e pulire i certificati scaduti.

1. Quando un utente esegue un accesso interattivo con un certificato, Microsoft Entra ID scarica e memorizza nella cache l'elenco di revoche di certificati (CRL) del cliente dall'autorità di certificazione per verificare se i certificati vengono revocati durante l'autenticazione dell'utente. Microsoft Entra usa l'attributo SubjectKeyIdentifier anziché SubjectName per compilare la catena di certificati. Quando i CRL sono abilitati, le configurazioni PKI devono includere i valori SubjectKeyIdentifier e Authority Key Identifier per garantire il corretto controllo delle revoche.

   SubjectKeyIdentifier fornisce un identificatore univoco non modificabile per la chiave pubblica del certificato, rendendolo più affidabile di SubjectName, che può essere modificato o duplicato tra i certificati. Questo attributo garantisce la creazione accurata della catena e la convalida CRL coerente in ambienti PKI complessi.

   Importante

   Se un amministratore dei criteri di autenticazione ignora la configurazione del CRL, l'ID Microsoft Entra non esegue controlli CRL durante l'autenticazione basata su certificati dell'utente. Questo comportamento può essere utile per la risoluzione dei problemi iniziale, ma non deve essere considerato per l'uso in produzione.

   • Solo CRL di base: se è configurato solo il CRL di base, Microsoft Entra ID scarica e lo memorizza nella cache fino al timestamp successivo dell'aggiornamento. L'autenticazione ha esito negativo se il CRL è scaduto e non può essere aggiornato a causa di problemi di connettività o se l'endpoint CRL non fornisce una versione aggiornata. Microsoft Entra applica rigorosamente il controllo delle versioni CRL: quando viene pubblicato un nuovo CRL, il relativo numero CRL deve essere superiore alla versione precedente.

     CRL Number garantisce il controllo delle versioni monotoniche, impedendo attacchi di riproduzione in cui potrebbe essere reintrodotto un CRL precedente per ignorare i controlli di revoca. Richiedendo a ogni nuovo CRL di avere un numero di versione superiore, Microsoft Entra ID garantisce che i dati di revoca più recenti vengano sempre usati.

   • Base + Delta CRL: quando entrambi sono configurati, entrambi devono essere validi e accessibili. Se manca o è scaduto, la convalida del certificato ha esito negativo per gli standard RFC 5280.

2. L'autenticazione basata su certificati utente ha esito negativo se un CRL è configurato per l'emittente attendibile e l'ID Microsoft Entra non può scaricare il CRL, a causa di vincoli di disponibilità, dimensioni o latenza. Questa limitazione rende l'endpoint CRL un singolo punto di errore critico, riducendo la resilienza dell'autenticazione basata su certificato di Microsoft Entra ID. Per ridurre questo rischio, è consigliabile usare soluzioni a disponibilità elevata che garantiscono un tempo di attività continuo per gli endpoint CRL.

3. Se il CRL supera il limite interattivo per un cloud, l'accesso iniziale dell'utente ha esito negativo e viene visualizzato l'errore seguente:

   The Certificate Revocation List (CRL) downloaded from {uri} has exceeded the maximum allowed size ({size} bytes) for CRLs in Microsoft Entra ID. Try again in few minutes. If the issue persists, contact your tenant administrators.

4. Microsoft Entra ID tenta di scaricare il CRL soggetto ai limiti lato servizio (45 MB in MICROSOFT Entra ID pubblico e 150 MB in Azure per il governo degli Stati Uniti).

5. Gli utenti possono ritentare l'autenticazione dopo alcuni minuti. Se il certificato dell'utente viene revocato e viene visualizzato nel CRL, l'autenticazione non riesce.

   Importante

   La revoca dei token per un certificato revocato non è immediata a causa della memorizzazione nella cache CRL. Se un CRL è già memorizzato nella cache, i certificati appena revocati non vengono rilevati finché la cache non viene aggiornata con un CRL aggiornato. I CRL differenziali in genere includono questi aggiornamenti, quindi la revoca diventa effettiva dopo il caricamento del CRL differenziale. Se i CRL differenziali non vengono usati, la revoca dipende dal periodo di validità del CRL di base. Gli amministratori devono revocare manualmente i token solo quando la revoca immediata è critica, ad esempio in scenari di sicurezza elevata. Per altre informazioni, vedere Configurare la revoca.

6. Il protocollo OCSP (Online Certificate Status Protocol) non è supportato a causa di motivi di prestazioni e affidabilità. Invece di scaricare il CRL a ogni connessione dal browser client per OCSP, Microsoft Entra ID lo scarica una volta al primo accesso e lo memorizza nella cache. Questa azione migliora le prestazioni e l'affidabilità della verifica CRL. La cache viene indicizzata anche in modo che la ricerca sia molto più veloce ogni volta.

7. Se Microsoft Entra scarica correttamente il CRL, memorizza nella cache e riutilizza il CRL per qualsiasi utilizzo successivo. Rispetta la data di aggiornamento successivo e, se disponibile, data di pubblicazione CRL successiva (usata dalle CA di Windows Server) nel documento CRL.

8. Se il certificato dell'utente è elencato come revocato in CRL, l'autenticazione utente ha esito negativo.

   

   Importante

   A causa della natura dei cicli di memorizzazione nella cache e della pubblicazione CRL, è consigliabile revocare anche tutte le sessioni dell'utente interessato in Microsoft Entra ID.

9. Microsoft Entra ID tenta di recuperare un nuovo CRL dal punto di distribuzione se il documento CRL memorizzato nella cache è scaduto. Se CRL ha una data di pubblicazione successiva, Microsoft Entra esegue un prelettura CRL anche se il CRL nella cache non è scaduto. A partire dal momento, non è possibile forzare manualmente o ritentare il download del CRL.

   Annotazioni

   Microsoft Entra ID controlla il CRL della CA emittente e di altri ca nella catena di attendibilità PKI fino alla CA radice. È previsto un limite massimo di 10 CA dal certificato client foglia per la convalida CRL nella catena PKI. La limitazione consiste nel garantire che un attore non valido non arresti il servizio caricando una catena PKI con un numero enorme di ca con dimensioni CRL maggiori. Se la catena PKI del tenant ha più di 10 CA e, in caso di compromissione della CA, gli amministratori dei criteri di autenticazione devono rimuovere l'autorità di certificazione attendibile compromessa dalla configurazione del tenant di Microsoft Entra. Per altre informazioni, vedere Prelettura CRL.

Come configurare la revoca

Per revocare un certificato client, Microsoft Entra ID recupera l'elenco di revoche di certificati (Certificate Revocation List o CRL) dagli URL caricati come parte delle informazioni sull'autorità di certificazione e li memorizza nella cache. L'ultimo timestamp di pubblicazione (proprietà Data effettiva ) nel CRL viene usato per assicurarsi che il CRL sia ancora valido. Il CRL viene referenziato periodicamente per revocare l'accesso ai certificati che fanno parte dell'elenco.

Revoca immediata delle sessioni con Entra CBA

Esistono molti scenari che potrebbero richiedere a un amministratore di revocare immediatamente tutti i token di sessione, in modo che tutti gli accessi per un utente vengano revocati. Tali scenari includono

• account compromessi
• terminazione dei dipendenti
• Interruzione dell'entrata in cui vengono usate le credenziali memorizzate nella cache che non includono la convalida CRL
• altre minacce interne.

Se è necessaria una revoca più immediata (ad esempio in caso di smarrimento del dispositivo da parte di un utente), il token di autorizzazione dell'utente può essere annullato. Per invalidare il token di autorizzazione, impostare il campo StsRefreshTokensValidFrom per questo utente specifico usando Windows PowerShell. È necessario aggiornare il campo StsRefreshTokensValidFrom per ogni utente per cui si vuole revocare l'accesso.

Per garantire che la revoca venga mantenuta, è necessario impostare la data di validità del CRL su una data successiva al valore impostato da StsRefreshTokensValidFrom e assicurarsi che il certificato in questione si trovi nel CRL.

I passaggi seguenti illustrano il processo di aggiornamento e invalidazione del token di autorizzazione impostando il campo StsRefreshTokensValidFrom .

# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"

# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"

# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom

La data impostata deve essere futura. Se la data non è futura, la proprietà StsRefreshTokensValidFrom non è impostata. Se la data è futura, StsRefreshTokensValidFrom è impostata sull'ora corrente (non la data indicata dal comando Set-MsolUser).

Applicare la convalida CRL per le ca

Quando si caricano ca nell'archivio attendibilità di Microsoft Entra, non è necessario includere un CRL o l'attributo CrlDistributionPoint. È possibile caricare una CA senza un endpoint CRL e l'autenticazione basata su certificati non ha esito negativo se una CA emittente non specifica un CRL.

Per rafforzare la sicurezza ed evitare errori di configurazione, un amministratore dei criteri di autenticazione può richiedere l'autenticazione CBA se una CA che rilascia un certificato utente finale non configura un CRL.

Abilitare la convalida CRL

1. Selezionare Richiedi convalida CRL (scelta consigliata) per abilitare la convalida CRL.

   

   Quando si abilita questa impostazione, L'autorità di certificazione ha esito negativo se il certificato dell'utente finale proviene da una CA che non configura un CRL.

2. Un amministratore dei criteri di autenticazione può esentare una CA se il relativo CRL presenta problemi che devono essere risolti. Selezionare Aggiungi esenzione e scegliere eventuali ca da esentare.

   

3. Le ca nell'elenco esentato non devono configurare un CRL e i certificati dell'utente finale che rilasciano non hanno esito negativo.

   Selezionare i CA e selezionare Aggiungi. Usare la casella di testo Cerca per filtrare gli elenchi ca e selezionare ca specifiche.

   

Linee guida per la configurazione di CRL (base e delta CRL) per Microsoft Entra ID

1. Pubblicare CRL accessibili:

   • Assicurarsi che la CA pubblica sia il CRL di base che i CRL differenziali (se applicabile) in URL con connessione Internet accessibili tramite HTTP.
   • Microsoft Entra ID non può convalidare i certificati se i CRL sono ospitati in server solo interni. Gli URL devono essere a disponibilità elevata, prestazioni e resilienza per evitare errori di autenticazione a causa dell'indisponibilità.
   • Convalidare l'accessibilità CRL testando l'URL CRL in un browser e usando certutil -url per i controlli di distribuzione.

2. Configurare gli URL CRL in Microsoft Entra ID:

   • Caricare il certificato pubblico della CA nell'ID Microsoft Entra e configurare i punti di distribuzione CRL (CDP).
   • URL CRL di base: contiene tutti i certificati revocati.
   • URL CRL delta (facoltativo ma consigliato): contiene i certificati revocati dopo la pubblicazione dell'ultima CRL di base.
   • Usare strumenti come certutil per verificare la validità di CRL e risolvere i problemi di certificato e CRL in locale.

3. Impostare i periodi di validità:

   • Impostare il periodo di validità CRL di base abbastanza lungo per bilanciare il sovraccarico operativo e la sicurezza (in genere giorni su settimane).
   • Impostare il periodo di validità CRL delta più breve (comunemente 24 ore) per consentire il riconoscimento tempestivo dei certificati revocati.
   • La validità CRL delta più breve migliora la sicurezza riducendo la finestra in cui i certificati revocati rimangono validi, ma aumentano il carico di rilascio e distribuzione.
   • La validità predefinita consigliata di 24 ore per i CRL differenziali nei server Windows è una sicurezza e prestazioni standard ampiamente accettata.
   • Microsoft Entra ID è progettato per gestire in modo efficiente gli aggiornamenti CRL delta frequenti senza riduzione delle prestazioni e miglioramenti continui consentono di migliorare ulteriormente questa funzionalità.
   • Microsoft Entra ID applica meccanismi di limitazione per proteggere da attacchi DDoS durante i download delta CRL, che possono causare errori temporanei come "AADSTS2205013" per un piccolo subset di utenti.

4. Garantire disponibilità elevata e prestazioni:

   • Ospitare CRL in server Web affidabili o reti per la distribuzione di contenuti (CDN) per ridurre al minimo i ritardi o gli errori durante il recupero.
   • Monitorare la pubblicazione CRL e l'accessibilità in modo proattivo.

5. Protezione da attacchi DDoS (Distributed Denial of Service):

   • Per proteggere i servizi e gli utenti di Microsoft Entra ID, la limitazione viene applicata alle operazioni di recupero CRL durante carichi elevati o potenziali abusi.
   • Pianificare i cicli di pubblicazione e scadenza CRL durante le ore di minore attività per ridurre al minimo la probabilità di limitazione degli utenti.

6. Gestione delle dimensioni CRL

   • Mantenere i payload CRL il più piccolo possibile, idealmente con frequenti rilasci delta CRL e archiviazione di voci precedenti, per migliorare la velocità di recupero e ridurre la larghezza di banda.

7. Abilitare la convalida CRL

   • Applicare la convalida CRL nei criteri MICROSOFT Entra ID per garantire che vengano rilevati certificati revocati. Per altre informazioni, vedere Abilitare la convalida CRL.
   • Prendere in considerazione il bypass temporaneo del controllo CRL solo come ultima risorsa durante la risoluzione dei problemi, con una comprensione dei rischi per la sicurezza.

8. Testare e monitorare

   • Eseguire test regolari per verificare che i CRL siano scaricabili e riconosciuti correttamente da Microsoft Entra ID.
   • Usare il monitoraggio per rilevare e correggere rapidamente eventuali problemi di disponibilità o convalida CRL.

Informazioni di riferimento sugli errori CRL

Codice di errore e messaggio	Description	Cause comuni	Recommendations
AADSTS500171: il certificato è stato revocato. Contattare l'amministratore.	Il certificato si trova nel CRL, a indicare che è stato revocato.	Il certificato viene revocato dall'amministratore.	Se un certificato viene erroneamente incluso nel CRL, chiedere alla CA emittente di eseguire nuovamente il CRL con un elenco aggiornato che riflette in modo accurato le revoche previste.
AADSTS500172: il certificato '{name}' rilasciato da '{issuer}' non è valido. Ora corrente: '{curTime}'. Certificate NotBefore: '{startTime}'. Certificato Non Dopo: '{endTime}'.	CRL non è valido nel tempo.	I CRL o i CRL differenziali usati per convalidare il certificato presentano problemi di intervallo, ad esempio CRL scaduti o tempi di pubblicazione/validità configurati in modo non corretto.	- Verificare che le date NotBefore e NotAfter del certificato includano correttamente l'ora corrente. - Verificare che i CRL di base e differenziali pubblicati dalla CA non siano scaduti.
AADSTS500173: >impossibile scaricare un elenco di revoche di certificati (CRL). Codice di stato {code} non valido dal punto di distribuzione CRL. Contattare l'amministratore.	Non è stato possibile scaricare CRL a causa di problemi di endpoint.	- L'endpoint CRL restituisce errori HTTP (ad esempio 403) - CRL scaduto senza aggiornamento	- Verificare che l'endpoint CRL restituisca dati validi - Assicurarsi che la CA pubblica regolarmente crl aggiornate - L'URL CRL non è accessibile a causa di problemi di rete, blocchi del firewall o tempi di inattività del server. - Abilitare CRL non riuscito per bloccare i certificati non verificabili.
AADSTS500174: non è possibile costruire un elenco di revoche di certificati (CRL) valido dalla risposta.	Microsoft Entra ID non può analizzare o usare il CRL recuperato dal punto di distribuzione specificato.	- L'URL CRL non è accessibile a causa di problemi di rete, blocchi del firewall o tempi di inattività del server. - Il file CRL scaricato è danneggiato, incompleto o formattato in modo non corretto. - Gli URL nei campi CDP del certificato non puntano a file CRL validi o non sono configurati in modo errato.	- Verificare l'accessibilità, la validità e l'integrità CRL. - Esaminare il file CRL per individuare il contenuto danneggiato o incompleto.
AADSTS500175: controllo della revoca non riuscito perché manca l'elenco di revoche di certificati (CRL) per un certificato nella catena.	Durante il controllo della revoca dei certificati, Microsoft Entra non è riuscito a individuare un segmento o una parte richiesta dell'elenco di revoche di certificati (CRL).	- Il file CRL scaricato dal punto di distribuzione CRL (CDP) è danneggiato o troncato. - Pubblicazione errata o incompleta del CRL dalla CA. - Problemi di rete che causano download CRL incompleti o non riusciti. - Configurazione errata degli URL dei punti di distribuzione CRL o dei segmenti di file.	- Verificare l'integrità CRL - Ripubblicare o rigenerare CRL - Controllare le impostazioni di rete e proxy - Assicurarsi di correggere la configurazione CDP in tutte le CA
AADSTS500176: l'autorità di certificazione che ha emesso il certificato non è stata configurata nel tenant. Contattare l'amministratore.	Microsoft Entra non è riuscito a individuare il certificato CA emittente nell'archivio certificati attendibile. In questo modo si impedisce la convalida corretta della catena di attendibilità del certificato utente.	- Il certificato CA emittente (radice o intermedio) non viene caricato o configurato nell'elenco dei certificati attendibili dell'ID Microsoft Entra. - La catena di certificati archiviata nel client o nel dispositivo non si collega correttamente a un certificato CA attendibile. - Riferimenti AKI (Subject Key Identifier) non corrispondenti o mancanti nella catena di certificati. - Il certificato emittente potrebbe essere scaduto, revocato o altrimenti non valido.	- L'amministratore tenant deve caricare tutti i certificati CA radice e intermedi pertinenti nell'archivio certificati attendibili di Microsoft Entra tramite l'interfaccia di amministrazione di Microsoft Entra. - Verificare che lo SKI del certificato CA emittente corrisponda all'AKI nel certificato dell'utente per garantire un collegamento di catena appropriato. - Usare strumenti come certutil o OpenSSL per verificare che la catena di certificati completa sia intatta, non interrotta e attendibile. - Sostituire eventuali certificati CA scaduti o revocati nell'archivio attendibile per mantenere la validità della catena.
AADSTS500177: Elenco di revoche di certificati (CRL) non configurato correttamente. Il punto di distribuzione CRL delta è configurato senza un punto di distribuzione CRL di base corrispondente. Contattare l'amministratore.	Indica che la configurazione della CA include un punto di distribuzione Delta CRL, ma il punto di distribuzione CRL di base corrispondente è mancante o non configurato correttamente.	- I punti di distribuzione CRL configurati nei certificati o nelle impostazioni della CA non sono validi, inaccessibili o non corretti. - La CA non ha pubblicato correttamente il CRL o il CRL è scaduto, causando errori di convalida. - I dispositivi o i servizi MICROSOFT Entra ID non possono accedere agli URL CRL a causa di regole del firewall, restrizioni proxy o problemi di connettività di rete. - Impostazioni configurate in modo errato in Microsoft Entra o nell'autorità di certificazione emittente correlata alla gestione CRL.	- Confermare e aggiornare i punti di distribuzione CRL in URL accurati e accessibili pubblicamente. - Assicurarsi che i CRL vengano pubblicati e rinnovati regolarmente prima della scadenza. Automatizzare la pubblicazione CRL, se possibile. - Consentire il traffico di rete necessario ai punti di distribuzione CRL aggiornando le regole del firewall, del proxy o dei dispositivi di sicurezza. - Verificare i CRL scaricati per il danneggiamento o il troncamento e ripubblicare, se necessario. - Controllare due volte le configurazioni di MICROSOFT Entra ID e CA correlate alla pubblicazione, agli URL e ai criteri di convalida CRL.
AADSTS500178: impossibile recuperare segmenti CRL validi per {type}. Riprova più tardi.	L'ID Microsoft Entra non riesce a scaricare o elaborare tutti i segmenti necessari dell'elenco di revoche di certificati (CRL) durante la convalida del certificato.	- Il CRL viene pubblicato in più segmenti e uno o più segmenti sono mancanti, danneggiati o inaccessibili. - Restrizioni di rete o firewall bloccano l'accesso a uno o più segmenti CRL. - I segmenti CRL disponibili potrebbero essere scaduti o non aggiornati correttamente. - URL non corretti o voci mancanti nei punti di distribuzione CRL del certificato in cui sono ospitati i segmenti.	- Scaricare manualmente tutti i segmenti CRL dai punti di distribuzione e verificare la completezza e la validità. - Assicurarsi che tutti gli URL dei segmenti CRL siano configurati e accessibili correttamente. Aggiornare i certificati o le configurazioni della CA se gli URL CDP sono stati modificati. - Confermare che la CA pubblica e gestisce correttamente tutti i segmenti CRL senza danneggiamento o parti mancanti.
AADSTS500179: timeout della convalida CRL. Riprovare più tardi.	Timeout del download CRL o interrotto.	- Le dimensioni CRL superano i limiti - Latenza di rete o instabilità	- Mantenere la dimensione CRL inferiore a 20 MB (Azure commerciale) o 45 MB (Azure per il governo degli Stati Uniti) - Impostare Next Update l'intervallo su almeno una settimana - Monitorare le prestazioni di download CRL tramite i log di accesso.
AADSTS500183: il certificato è stato revocato. Contattare l'amministratore	Tentativo di autenticazione non riuscito perché il dispositivo client ha presentato un certificato revocato dalla CA emittente.	Il certificato usato per l'autenticazione si trova nell'elenco di revoche di certificati (CRL) o contrassegnato come revocato dalla CA.	- L'amministratore tenant deve assicurarsi che il provisioning del nuovo certificato sia correttamente e considerato attendibile dall'ID Microsoft Entra. - Verificare che i CRL e i CRL differenziali pubblicati dalla CA siano aggiornati e accessibili per i dispositivi.
AADSTS2205011: l'elenco di revoche di certificati (CRL) scaricato non è in un formato di codifica ASN.1 valido. Contattare l'amministratore.	Il file CRL recuperato da Microsoft Entra non viene codificato correttamente in base allo standard ASN.1 (Abstract Syntax Notation One) Distinguished Encoding Rules (DER), necessario per l'analisi e la convalida dei dati CRL.	- Il file CRL è danneggiato o troncato durante la pubblicazione o la trasmissione. - Il CRL è stato generato o codificato in modo non corretto dalla CA e non è conforme agli standard ASN.1 DER. - Le conversioni di formato di file (ad esempio la codifica base64/PEM non corretta) hanno danneggiato i dati CRL.	- Scaricare manualmente il CRL ed esaminarlo con strumenti come openssl o parser ASN.1 specializzati per verificare se è danneggiato o non valido. - Rigenerare e ripubblicare il CRL dalla CA garantendo la conformità agli standard di codifica DER ASN.1. - Assicurarsi che il software o gli strumenti ca che generano CRL siano conformi a RFC 5280 e codificano correttamente i CRL in formato ASN.1 DER.
AADSTS2205012: il tentativo di scaricare l'elenco di revoche di certificati (CRL) da '{uri}' durante il timeout dell'accesso interattivo. Stiamo provando a scaricare di nuovo. Riprovare tra qualche minuto.	Microsoft Entra ID non è riuscito a recuperare il file CRL entro il tempo previsto dall'URL specificato.	- I servizi ID Microsoft Entra non possono raggiungere il punto di distribuzione CRL a causa di interruzioni di rete, restrizioni del firewall o errori DNS. - Il server che ospita il CRL è inattivo, sottoposto a overload o non risponde in modo tempestivo. - I CRL di grandi dimensioni richiedono più tempo per il download, causando potenzialmente timeout.	- Usare CRL delta per mantenere le dimensioni dei file CRL più piccole e aggiornare più frequentemente per ridurre il tempo di download. - Pubblicare o aggiornare CRL durante le ore di minore attività per ridurre il carico del server e migliorare i tempi di risposta. - Monitorare e mantenere disponibilità elevata e prestazioni dei server di hosting CRL.
AADSTS2205013: il download dell'elenco di revoche di certificati (CRL) è attualmente in corso. Riprovare tra qualche minuto.	Si verifica quando più tentativi di autenticazione attivano simultaneamente download CRL e il sistema sta ancora elaborando il recupero CRL corrente.	- Quando un CRL scade o sta per scadere, più utenti che accedono contemporaneamente possono causare tentativi simultanei di scaricare il nuovo CRL. - Microsoft Entra ID applica un meccanismo di blocco per impedire i download simultanei della stessa CRL per ridurre il carico e le potenziali condizioni di gara. In questo modo alcune richieste di autenticazione vengono temporaneamente negate con questo messaggio di ripetizione dei tentativi. - Popolamenti di utenti di grandi dimensioni o picchi di accesso pesanti possono aumentare la frequenza di questo errore.	- Attendere alcuni minuti per il completamento del download CRL in corso prima di ripetere l'accesso. - Assicurarsi che i CRL vengano pubblicati e aggiornati regolarmente prima della scadenza per ridurre i download forzati.
AADSTS2205014:Il tentativo di scaricare l'elenco di revoche di certificati (CRL) da '{uri}' durante l'accesso interattivo ha superato le dimensioni massime consentite ({size} byte). Il provisioning del CRL è in corso con il limite di download del servizio CRL. Riprovare in pochi minuti.	Il file CRL Microsoft Entra ID ha tentato di scaricare è maggiore del limite di dimensioni impostato dal servizio. Microsoft Entra proverà a scaricare in background con limiti più elevati.	- Il file CRL pubblicato dalla CA è troppo grande, spesso a causa di un numero elevato di certificati revocati. - I CRL di grandi dimensioni possono verificarsi se i certificati revocati non vengono puliti o se la CA mantiene lunghi periodi di scadenza per i dati di revoca. - Dimensioni CRL di grandi dimensioni aumentano i tempi di download e l'utilizzo delle risorse durante l'autenticazione basata su certificati.	- Rimuovere i certificati non aggiornati o scaduti dal database della CA. - Abbreviare i periodi di validità CRL e aumentare la frequenza di pubblicazione per mantenere gestibili le dimensioni CRL. - Implementare CRL delta per distribuire solo informazioni di revoca incrementali e ridurre la larghezza di banda.
AADSTS2205015: la convalida della firma dell'elenco di revoche di certificati (CRL) non è riuscita. L'oggetto SubjectKeyIdentifier {expectedSKI} previsto non corrisponde a AuthorityKeyIdentifier {crlAK}. Contattare l'amministratore.	Non è stato possibile convalidare la firma crittografica sul CRL perché il CRL è stato firmato da un certificato il cui identificatore di chiave del soggetto (SKI) non corrisponde all'identificatore di chiave dell'autorità (AKI) previsto da Microsoft Entra ID.	- Certificato CA usato per firmare il CRL modificato, ma il nuovo ski non è stato aggiornato o sincronizzato nell'elenco dei certificati attendibili. - CRL non aggiornato o non corrispondente a causa di errori di configurazione nella gerarchia PKI. - Certificati ca intermedi non corretti o mancanti nell'elenco di certificati attendibili. - Il certificato di firma CRL potrebbe non avere l'utilizzo della chiave appropriato per la firma di CRL.	- Controllare l'identificatore di chiave del soggetto (SKI) del certificato CA che firma il CRL corrisponde all'identificatore di chiave dell'autorità (AKI) nel CRL. - Verificare che il certificato ca di firma sia caricato e attendibile in Microsoft Entra ID. - Verificare che il certificato della CA usato per firmare il CRL disponga dei flag di utilizzo delle chiavi appropriati abilitati (ad esempio la firma CRL) e verificare che la catena di certificati sia intatta e non interrotta. - Caricare o aggiornare i certificati ca radice e intermedi corretti nell'elenco delle autorità di certificazione attendibili dell'ID Microsoft Entra e assicurarsi che il certificato usato per firmare l'elenco CRL sia incluso e configurato correttamente.
AADSTS7000214: il certificato è stato revocato.	Il certificato è stato revocato.	- Certificato elencato in CRL	- Sostituire il certificato revocato - Analizzare il motivo della revoca con l'autorità di certificazione - Monitorare il ciclo di vita e il rinnovo dei certificati

Domande frequenti

Le sezioni successive illustrano domande e risposte comuni relative agli elenchi di revoche di certificati.

Esiste un limite per le dimensioni CRL?

Si applicano i limiti di dimensione CRL seguenti:

• Limite di download di accesso interattivo: 20 MB (Azure Global include GCC), 45 MB per (Azure US government, include GCC High, Dept. of Defense)
• Limite di download del servizio: 65 MB (Azure Global include GCC), 150 MB per (Azure US government, include GCC High, Dept. of Defense)

Quando un download CRL ha esito negativo, viene visualizzato il messaggio seguente:

"L'elenco di revoche di certificati (CRL) scaricato da {uri} ha superato le dimensioni massime consentite ({size} byte) per i CRL in Microsoft Entra ID. Riprovare in pochi minuti. Se il problema persiste, contattare gli amministratori tenant."

Il download rimane in background con limiti più elevati.

Stiamo esaminando l'impatto di questi limiti e abbiamo intenzione di rimuoverli.

Viene visualizzato un set di endpoint CRL (Certificate Revocation List) valido, ma perché non viene visualizzata alcuna revoca CRL?

• Assicurarsi che il punto di distribuzione CRL sia impostato su un URL HTTP valido.
• Assicurarsi che il punto di distribuzione CRL sia accessibile tramite un URL con connessione Internet.
• Assicurarsi che le dimensioni CRL siano entro i limiti.

Come si revoca immediatamente un certificato?

Seguire la procedura per revocare manualmente un certificato.

Come è possibile attivare o disattivare il controllo delle revoche di certificati per una determinata CA?

È consigliabile disabilitare il controllo dell'elenco di revoche di certificati perché non sarà possibile revocare i certificati. Tuttavia, se è necessario analizzare i problemi relativi al controllo CRL, è possibile esentare una CA dal controllo CRL nell'interfaccia di amministrazione di Microsoft Entra. Nel criterio Metodi di autenticazione CBA selezionare Configura e quindi selezionare Aggiungi esenzione. Scegliere la CA da escludere e selezionare Aggiungi.

Dopo aver configurato un endpoint CRL, gli utenti finali non possono accedere e visualizzano "AADSTS500173: Non è possibile scaricare CRL. Codice di stato non valido Non consentito dal punto di distribuzione CRL".

Quando un problema impedisce a Microsoft Entra di scaricare il CRL, la causa è spesso restrizioni del firewall. Nella maggior parte dei casi, è possibile risolvere il problema aggiornando le regole del firewall per consentire agli indirizzi IP necessari in modo che Microsoft Entra possa scaricare correttamente il CRL. Per altre informazioni, vedere Elenco di Microsoft IPAddress.

Come si trova l'elenco di revoche di certificati per una CA o come risolvere l'errore "AADSTS2205015: Convalida della firma non riuscita dell'elenco di revoche di certificati (CRL)?

Scaricare il CRL e confrontare il certificato CA e le informazioni CRL per verificare che il crlDistributionPoint valore sia valido per la CA da aggiungere. È possibile configurare il CRL nella CA corrispondente associando l'identificatore della chiave del soggetto dell'autorità di certificazione (SKI) all'identificatore della chiave dell'autorità (AKI) dell'autorità di certificazione (CA Issuer SKI == CRL AKI).

La tabella e la figura seguenti illustrano come eseguire il mapping delle informazioni dal certificato CA agli attributi del CRL scaricato.

Informazioni sul certificato DELLA CA	=	Informazioni CRL scaricate
Oggetto	=	Emittente
Identificatore chiave soggetto (SKI)	=	Identificatore chiave dell'autorità (KeyID)

• Elenco di revoche di certificati Microsoft Entra CBA

Passaggi successivi

• Panoramica di Microsoft Entra CBA
• Come configurare Microsoft Entra CBA
• Microsoft Entra CBA su dispositivi iOS
• Microsoft Entra CBA su dispositivi Android
• Accesso tramite smart card di Windows con Microsoft Entra CBA
• ID utente certificato
• Come eseguire la migrazione di utenti federati
• Domande frequenti
• Risolvere i problemi relativi a Microsoft Entra CBA