证书吊销列表(CRL)是证书颁发机构(CA)在计划到期日期之前吊销的证书列表。 CRL 对于维护身份验证完整性至关重要。 吊销证书后,即使证书未过期,也会将其标记为不受信任。 在基于证书的身份验证中合并 CRL 可确保仅接受有效的未吊销证书,Microsoft Entra ID阻止使用吊销的证书进行的任何尝试。
CRL 由 CA 进行数字签名,并发布到可公开访问的位置,允许通过 Internet 下载 CRL 以验证证书的吊销状态。 当客户端提供证书进行身份验证时,系统将检查 CRL 以确定证书是否已吊销。
如果在 CRL 中找到证书,则会拒绝身份验证尝试。 CRL 通常定期更新,组织应确保其具有最新版本的 CRL,以便对证书有效性做出准确的决策。
在Microsoft Entra基于证书的身份验证(CBA)中,配置 CRL 时,系统必须在身份验证期间检索和验证 CRL。 如果Microsoft Entra ID无法访问 CRL 终结点,身份验证会失败,因为需要 CRL 来确认证书有效性。
CRL 在基于证书的身份验证中的工作原理
CRL 的工作原理是提供一种机制来检查用于身份验证的证书的有效性。 此过程涉及几个关键步骤:
证书颁发: 当 CA 颁发证书时,该证书在到期日期之前有效,除非它被提前吊销。 每个证书都包含一个公钥,并由 CA 签名。
撤销: 如果需要吊销证书(例如,私钥已泄露或不再需要证书),则 CA 会将其添加到 CRL。
CRL 分发: CA 将 CRL 发布到客户端可访问的位置,例如 Web 服务器或目录服务。 CRL 通常由 CA 签名,以确保其完整性。 如果 CRL 未由 CA 签名,则会引发加密错误 AADSTS2205015。可以按照 常见问题解答 中的步骤排查问题。
客户端检查: 当客户端提供用于身份验证的证书时,系统会从其已发布的位置检索证书链中每个 CA 的 CRL,并检查任何已吊销的 CA。 如果任何 CRL 位置不可用,身份验证将失败,因为系统无法验证证书的吊销状态。
认证: 如果在 CRL 中找到证书,则会拒绝身份验证尝试,并拒绝客户端访问。 如果证书不在 CRL 中,身份验证会正常进行。
CRL 更新: CRL 由 CA 定期更新,客户端应确保其具有最新版本,以便对证书有效性做出准确的决策。 系统会缓存 CRL 一段时间,以减少网络流量并提高性能,但它也会定期检查更新。
了解 Microsoft Entra 证书认证中的证书吊销过程
证书吊销过程使身份验证策略管理员能够撤销以前颁发的证书,以便它不能用于将来的身份验证。
在设置受信任颁发者的过程中,身份验证策略管理员会在 Microsoft Entra 租户中配置 CRL 分发点。 每个受信任的颁发者都应有一个 CRL,可以使用面向 Internet 的 URL 进行引用。 有关详细信息,请参阅 “配置证书颁发机构”。
Microsoft Entra ID仅支持一个 CRL 终结点,仅支持 HTTP 或 HTTPS。 建议使用 HTTP 而不是 HTTPS 进行 CRL 分发。 在基于证书的身份验证期间进行 CRL 检查,检索 CRL 时出现任何延迟或失败都可能会阻止身份验证。 使用 HTTP 可最大程度地减少延迟,并避免 HTTPS 导致的潜在循环依赖项(这本身需要证书验证)。 为了确保可靠性,在高可用性 HTTP 终结点上托管 CRL,并验证它们是否可通过 Internet 访问。
重要
Microsoft Entra ID 在交互式登录时成功下载 CRL 的最大大小是:在公共 Microsoft Entra ID 中为 20 MB,在 Azure 美国政府 云中为 45 MB。 下载 CRL 所需的时间不得超过 10 秒。 如果Microsoft Entra ID无法下载 CRL,则使用相应 CA 颁发的证书进行基于证书的身份验证会失败。 最佳做法是将 CRL 文件保持在大小限制内,将证书生存期保持在合理的限制内,并清理过期的证书。
当用户使用证书执行交互式登录时,Microsoft Entra ID从其证书颁发机构下载并缓存客户的证书吊销列表(CRL),以检查证书是否在用户的身份验证过程中吊销。 Microsoft Entra使用 SubjectKeyIdentifier 属性而不是 SubjectName 生成证书链。 启用 CRL 后,PKI 配置必须包括 SubjectKeyIdentifier 和颁发机构密钥标识符值,以确保进行适当的吊销检查。
SubjectKeyIdentifier 为证书的公钥提供唯一的不可变标识符,使其比 SubjectName 更可靠,该标识符可以更改或复制跨证书。 此属性可确保在复杂的 PKI 环境中进行准确的链生成和一致的 CRL 验证。
重要
如果身份验证策略管理员跳过了对 CRL 的配置,那么在用户进行基于证书的身份验证时,Microsoft Entra ID 不会执行任何 CRL 检查。 此行为对于初始故障排除非常有用,但不应考虑用于生产用途。
仅基本 CRL:若仅配置基本 CRL,Microsoft Entra ID 会下载并缓存基本 CRL,直至下一个更新时间戳。 如果 CRL 已过期且由于连接问题或 CRL 终结点未提供更新版本而无法刷新,身份验证将失败。 Microsoft Entra严格强制实施 CRL 版本控制:发布新的 CRL 时,其 CRL 编号必须高于以前的版本。
CRL 数字可确保单调版本控制,防止重播攻击,其中可以重新引入较旧的 CRL 以绕过吊销检查。 通过要求每个新的 CRL 具有更高的版本号,Microsoft Entra ID保证始终使用最新的吊销数据。
Base + Delta CRL:配置两者时,两者都必须有效且可访问。 如果缺少或已过期,则证书验证会根据 RFC 5280 标准失败。
如果为受信任的颁发者配置了 CRL,但由于可用性、大小或延迟限制,Microsoft Entra ID 无法下载 CRL,则用户的基于证书的身份验证将失败。 此限制使 CRL 终结点成为关键的单一故障点,从而减少Microsoft Entra ID基于证书的身份验证的复原能力。 为了缓解此风险,我们建议使用高可用性解决方案来确保 CRL 终结点的持续运行时间。
如果 CRL 超出云的交互式限制,用户的初始登录将失败,并出现以下错误:
The Certificate Revocation List (CRL) downloaded from {uri} has exceeded the maximum allowed size ({size} bytes) for CRLs in Microsoft Entra ID. Try again in few minutes. If the issue persists, contact your tenant administrators.Microsoft Entra ID 尝试根据服务端限制下载 CRL(公共 Microsoft Entra ID 为 65 MB,美国政府 Azure 为 150 MB)。
用户可在几分钟后重试身份验证。 如果用户的证书被吊销并显示在 CRL 中,身份验证将失败。
重要
由于 CRL 缓存,对吊销证书的令牌吊销并不会立即生效。 如果已缓存 CRL,则在缓存使用更新的 CRL 刷新之前,不会检测到新吊销的证书。 增量 CRL 通常包括这些更新,因此在加载增量 CRL 后,吊销将生效。 如果未使用增量 CRL,则吊销取决于基本 CRL 的有效期。 仅当立即吊销至关重要(例如在高安全性方案中),管理员才应手动吊销令牌。 有关详细信息,请参阅 “配置吊销”。
由于性能和可靠性原因,我们不支持联机证书状态协议(OCSP)。 Microsoft Entra ID 在首次登录时下载并缓存 CRL,而不是让 OCSP 客户端浏览器在每次连接时下载。 此作可提高 CRL 验证的性能和可靠性。 我们还对缓存编制索引,以便每次搜索都快得多。
如果Microsoft Entra成功下载 CRL,它将缓存并重复使用 CRL 以供任何后续使用。 它遵从 CRL 文档中的 下一次更新日期,以及(如果可用)Windows Server 证书颁发机构使用的 下一个 CRL 发布日期。
如果用户的证书在 CRL 上列为已吊销,用户身份验证将失败。
重要
由于 CRL 缓存和发布周期的性质,强烈建议在 Microsoft Entra ID 中,对于受影响用户的所有会话进行撤销(如果发生证书吊销)。
如果缓存的 CRL 文档过期,Microsoft Entra ID尝试从分发点预提取新的 CRL。 如果 CRL 具有“下一个发布日期”,Microsoft Entra 即使缓存中的 CRL 未过期,也会执行 CRL 预提取。 到目前为止,无法手动强制或重新尝试下载 CRL。
注释
Microsoft Entra ID检查发证 CA 的 CRL 以及 PKI 信任链中到根 CA 的其他 CA。 在 PKI 链中,对于 CRL 验证的叶客户端证书,我们最多只能有 10 个 CA。 限制是为了确保不良行为者不会通过上传包含大量 CA 且 CRL 更大尺寸的 PKI 链,导致服务崩溃。 如果租户的 PKI 链超过 10 个 CA,并且存在 CA 泄露,身份验证策略管理员应从Microsoft Entra租户配置中删除已泄露的受信任颁发者。 有关详细信息,请参阅 CRL 预提取。
如何配置吊销
若要吊销客户端证书,Microsoft Entra ID从作为证书颁发机构信息的一部分上传的 URL 提取证书吊销列表(CRL),并将其缓存。 CRL 中的最后一个发布时间戳(有效日期 属性)用于确保 CRL 仍然有效。 将定期引用 CRL 以撤销对属于列表一部分的证书的访问权限。
使用 Entra CBA 立即吊销会话
有许多方案可能要求管理员立即撤销所有会话令牌,以便撤销用户的所有访问权限。 此类情景包括
- 已被盗用的帐户
- 员工离职
- Entra故障,其中使用不含CRL验证的缓存凭据
- 其他内部威胁。
如果需要更即时的吊销(例如,如果用户丢失设备),则用户的授权令牌可能会失效。 若要使授权令牌失效,请使用 Windows PowerShell 设置此特定用户的 StsRefreshTokensValidFrom 字段。 必须为要撤销访问权限的每个用户更新 StsRefreshTokensValidFrom 字段。
若要确保吊销状态的持续,必须将 CRL 的生效日期设置为 StsRefreshTokensValidFrom 设置的值之后的日期,并确保相关证书包含在 CRL 中。
以下步骤概述了通过设置 StsRefreshTokensValidFrom 字段来更新和使授权令牌失效的过程。
# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"
# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"
# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom
设置的日期必须在未来。 如果日期不在将来,则未设置 StsRefreshTokensValidFrom 属性。 如果日期在将来, StsRefreshTokensValidFrom 将设置为当前时间(而不是由 Set-MsolUser 命令指示的日期)。
为 CA 强制实施 CRL 验证
将 CA 上传到Microsoft Entra信任存储时,无需包含 CRL 或 CrlDistributionPoint 属性。 在没有 CRL 终结点的情况下上传 CA,如果颁发 CA 未指定 CRL,则基于证书的身份验证不会失败。
为了增强安全性并避免配置错误,如果颁发最终用户证书的 CA 未配置 CRL,身份验证策略管理员可以要求 CBA 身份验证失败。
启用 CRL 验证
选择 “需要 CRL 验证”以启用 CRL 验证。
启用此设置时,如果最终用户证书来自未配置 CRL 的 CA,CBA 将失败。
如果一个 CA 的 CRL 存在需要修复的问题,身份验证策略管理员可以豁免该 CA。 选择 “添加豁免 ”,然后选择要免除的任何 CA。
免除列表中的 CA 不需要配置 CRL,他们颁发的最终用户证书不会失败身份验证。
选择 CA,然后选择 “添加”。 使用 “搜索 ”文本框筛选 CA 列表并选择特定的 CA。
为 Microsoft Entra ID 设置基 CRL 和增量 CRL 的配置指导
发布可访问 CRL:
- 确保 CA 将基本 CRL 和增量 CRL(如果适用)发布到可通过 HTTP 访问的面向互联网的 URL。
- Microsoft Entra ID无法验证当CRL托管在仅限内部的服务器上时的证书。 URL 应具有高可用性、高性能和复原能力,以防止由于不可用而导致身份验证失败。
- 通过在浏览器中测试证书吊销列表 (CRL) URL,并使用 certutil -url 进行分发检查来验证 CRL 的可访问性。
在 Microsoft Entra ID 中配置 CRL URL:
- 将 CA 公共证书上传到Microsoft Entra ID并配置 CRL 分发点(CDP)。
- 基础 CRL URL:包含所有吊销的证书。
- 增量 CRL URL(可选但建议):包含自上次发布基本 CRL 以来吊销的证书。
- 使用 certutil 等工具验证 CRL 有效性,并在本地排查证书和 CRL 问题。
设置有效期:
- 设置足够长的基本 CRL 有效期,以平衡运营开销和安全性(通常为数天到周)。
- 将增量 CRL 的有效期设置得更短(通常为 24 小时),以便于及时识别已吊销的证书。
- 较短的增量 CRL 有效期通过减少吊销证书错误仍被视为有效的时间窗口,提高了安全性,但这会增加证书颁发和分发的负担。
- Windows服务器上的增量 CRL 建议的 24 小时默认有效期是广泛接受的安全和性能标准。
- Microsoft Entra ID旨在有效地处理频繁的增量 CRL 更新,而不会降低性能,并且持续改进有助于进一步增强这一点。
- Microsoft Entra ID应用限流机制,以防止增量 CRL 下载期间发生 DDoS 攻击,这可能会导致少量用户遇到“AADSTS2205013”等临时错误。
确保高可用性和性能:
- 在可靠的 Web 服务器或内容分发网络(CDN)上托管 CRL,以最大程度地减少检索过程中的延迟或故障。
- 主动监控 CRL 发布和可访问性。
防范限流和分布式拒绝服务(DDoS)攻击:
- 为了保护 Microsoft Entra ID 服务和用户,在高负载或潜在滥用期间,限制会应用于 CRL 获取操作。
- 在非高峰时段计划 CRL 发布和过期周期,以尽量减少限制影响用户的可能性。
CRL 大小管理
- 最好通过频繁颁发增量 CRL 和存档旧条目,使 CRL 负载尽可能小,以期提高获取速度并减少带宽占用。
启用 CRL 验证
- 在Microsoft Entra ID策略中强制实施 CRL 验证,以确保检测到吊销的证书。 有关详细信息,请参阅 “启用 CRL 验证”。
- 在了解安全风险的情况下,应仅在故障排除的最后手段时才考虑暂时绕过 CRL 检查。
测试和监视
- 执行常规测试,以验证 CRL 是否可通过Microsoft Entra ID正确下载和识别。
- 使用监视来检测和快速修正任何 CRL 可用性或验证问题。
CRL 错误参考
| 错误代码和消息 | Description | 常见原因 | Recommendations |
|---|---|---|---|
| AADSTS500171:证书已被吊销。 请与管理员联系。 | 证书位于 CRL 中,表示证书已被吊销。 | 证书由管理员吊销。 | 如果证书错误地包含在 CRL 中,请让颁发证书的 CA 重新发布 CRL,其中包含准确反映预期吊销的更新列表。 |
| AADSTS500172:“{issuer}”颁发的证书“{name}”无效。 当前时间:“{curTime}”。 证书 NotBefore: 「{startTime}」。 证书 NotAfter: "{endTime}"。 | CRL 在时间上无效。 | 用于验证证书的 CRL 或增量 CRL 存在时间管理问题,例如,CRL 已过期或发布/有效期配置错误。 | - 确认证书的 NotBefore 和 NotAfter 日期正确包含当前时间。 - 验证 CA 发布的基 CRL 和增量 CRL 是否已过期。 |
| AADSTS500173: >无法下载证书吊销列表(CRL)。 来自 CRL 分发点的状态代码 {code} 无效。 请与管理员联系。 | 由于端点问题,CRL 下载失败。 | - CRL 终结点返回 HTTP 错误(如 403) - CRL 已过期,无更新 |
- 确认 CRL 端点返回有效数据 - 确保 CA 定期发布更新的 CRL - 由于网络问题、防火墙块或服务器停机,CRL URL 无法访问。 - 启用 CRL 故障安全以阻止无法验证的证书。 |
| AADSTS500174:无法从响应构造有效的证书吊销列表(CRL)。 | Microsoft Entra ID无法分析或使用从指定分发点检索的 CRL。 | - 由于网络问题、防火墙块或服务器停机,CRL URL 无法访问。 - 下载的 CRL 文件已损坏、不完整或格式不正确。 - 证书 CDP 字段中的 URL 不指向有效的 CRL 文件或配置错误。 |
- 验证 CRL 可访问性、有效性和完整性。 - 检查 CRL 文件是否有损坏或不完整的内容。 |
| AADSTS500175:吊销检查失败,因为链中一个证书的证书吊销列表(CRL)缺失。 | 在证书吊销检查期间,Microsoft Entra找不到证书吊销列表(CRL)的必需段或部分。 | - 从 CRL 分发点(CDP)下载的 CRL 文件已损坏或截断。 - CA 发布 CRL 不正确或不完整。 - 导致 CRL 下载不完整或失败的网络问题。 - CRL 分发点 URL 或文件段配置错误。 |
- 验证 CRL 完整性 - 重新发布或重生成 CRL - 检查网络和代理设置 确保所有 CA 上的 CDP 配置正确 |
| AADSTS500176:颁发您证书的证书颁发机构尚未在租户中设置。 请与管理员联系。 | Microsoft Entra 在其受信任的证书存储中找不到颁发机构的 CA 证书。 这可以防止成功验证用户证书的信任链。 | - 颁发 CA 证书(根证书或中间证书)未在Microsoft Entra ID受信任的证书列表中上传或配置。 - 存储在客户端或设备上的证书链无法正确链接到受信任的 CA 证书。 - 证书链中的使用者密钥标识符(SKI)和颁发机构密钥标识符(AKI)引用不匹配或缺失。 - 颁发证书可能已过期、吊销或无效。 |
- 租户管理员应通过Microsoft Entra 管理中心将所有相关的根证书和中间 CA 证书上传到Microsoft Entra受信任的证书存储。 - 确认发证 CA 证书的 SKI 与用户的证书中的 AKI 匹配,以确保正确的链链接。 - 使用 certutil 或 OpenSSL 等工具验证完整证书链是否完好无损、未中断且受信任。 - 替换受信任存储区中任何过期或吊销的 CA 证书,以保持链有效性。 |
| AADSTS500177:证书吊销列表(CRL)配置错误。 在没有相应的基本 CRL 分发点的情况下配置增量 CRL 分发点。 请与管理员联系。 | 指示 CA 配置包括 Delta CRL 分发点,但相应的基本 CRL 分发点缺失或未正确配置。 | - 证书或 CA 设置中配置的 CRL 分发点(CDP)无效、不可访问或 URL 不正确。 - CA 未正确发布 CRL 或 CRL 已过期,导致验证失败。 - 设备或Microsoft Entra ID服务由于防火墙规则、代理限制或网络连接问题而无法访问 CRL URL。 - Microsoft Entra或证书颁发机构中与CRL处理相关的配置错误设置。 |
- 确认 CRL 分发点并将其更新为准确且可公开访问的 URL。 - 确保在到期前定期发布和续订 CRL。 如果可能,自动化 CRL 发布。 - 通过更新防火墙、代理或安全设备规则,允许向 CRL 分发点发送必要的网络流量。 - 验证下载的 CRL 是否损坏或截断,并在必要时重新发布。 - 仔细检查与 CRL 发布、URL 和验证策略相关的Microsoft Entra ID和 CA 配置。 |
| AADSTS500178:无法检索 {type} 的有效 CRL 段。 请稍后重试。” | Microsoft Entra ID在证书验证期间无法下载或处理证书吊销列表(CRL)的所有必需段。 | - CRL 在多个段中发布,一个或多个段缺失、损坏或无法访问。 - 网络限制或防火墙阻止访问一个或多个 CRL 段。 - 可用的 CRL 段可能已过期或未正确更新。 - 证书的 CRL 分发点中托管段的 URL 不正确或缺少条目。 |
- 从分发点手动下载所有 CRL 段,并检查完整性和有效性。 - 确保正确配置并可访问所有 CRL 段 URL。 如果 CDP URL 已更改,请更新证书或 CA 配置。 确认 CA 正确发布和维护所有 CRL 切片,确保不会损坏或缺少任何部分。 |
| AADSTS500179:CRL 验证超时。请稍后重试。 | CRL 下载超时或中断。 | - CRL 大小超过限制 - 网络延迟或不稳定 |
- 使 CRL 大小保持在 20MB(商业Azure)或 45MB(美国政府Azure) 将 Next Update 的间隔设置为至少一周- 通过登录日志监视 CRL 下载性能。 |
| AADSTS500183:证书已被吊销。 请联系管理员 | 身份验证尝试失败,因为客户端设备提供了已被颁发机构吊销的证书。 | 用于身份验证的证书在证书吊销列表(CRL)中找到,或被 CA 标记为已吊销。 | - 租户管理员应确保新证书被 Microsoft Entra ID 正确配置和信任。 - 验证您的 CA 发布的 CRL 和增量 CRL 是否为最新,并可被设备访问。 |
| AADSTS2205011:下载的证书吊销列表(CRL)不是有效的 ASN.1 编码格式。 请与管理员联系。 | 由于解析和验证 CRL 数据需要,Microsoft Entra 提取的 CRL 文件并未正确按照抽象语法表示法 1 (ASN.1) 的可分辨编码规则 (DER) 标准进行编码。 | - 在发布或传输期间,CRL 文件已损坏或截断。 - CRL 由 CA 生成或编码不正确,不符合 ASN.1 DER 标准。 - 文件格式转换(如 base64/PEM 编码不当)损坏了 CRL 数据。 |
- 手动下载 CRL 并使用 openssl 或专用 ASN.1 分析程序等工具对其进行检查,以确认它是否已损坏或格式不正确。 - 从 CA 重新生成和重新发布 CRL,确保符合 ASN.1 DER 编码标准。 - 确保生成 CRL 的 CA 软件或工具符合 RFC 5280,并正确编码 ASN.1 DER 格式的 CRL。 |
| AADSTS2205012:在交互式登录期间尝试从“{uri}”下载证书吊销列表(CRL)已超时。我们正尝试再次下载。 请在几分钟后重试。 | Microsoft Entra ID无法在指定 URL 的预期时间内检索 CRL 文件。 | - Microsoft Entra ID服务由于网络中断、防火墙限制或 DNS 故障而无法访问 CRL 分发点。 - 托管 CRL 的服务器宕机、过载或未能及时响应。 - 大型 CRL 下载需要更长的时间,这可能会导致超时。 |
- 使用增量 CRL 使 CRL 文件大小更小并更频繁地刷新,以减少下载时间。 - 在非高峰时段发布或刷新 CRL,以减少服务器负载并提高响应时间。 - 监视和维护 CRL 托管服务器的高可用性和性能。 |
| AADSTS2205013:证书吊销列表(CRL)下载当前正在进行中。 请在几分钟后重试。 | 当多次身份验证尝试同时触发 CRL 下载时发生,并且系统仍在处理当前的 CRL 检索。 | - CRL 过期或即将过期时,多个用户同时登录可能会导致同时尝试下载新的 CRL。 - Microsoft Entra ID应用锁定机制,以防止并发下载相同的 CRL 以减少负载和潜在的争用条件。这会导致使用此重试消息暂时拒绝某些身份验证请求。 - 大型用户群体或大量登录突发可能会增加此错误的频率。 |
- 在重试登录之前,允许正在进行的 CRL 下载完成几分钟。 - 确保 CRL 在到期前定期发布和更新,以减少强制重新下载。 |
| AADSTS2205014:尝试在交互式登录期间从“{uri}”下载证书吊销列表(CRL)已超过允许的最大大小({size} 字节)。 CRL 的服务下载限制正在配置中,请几分钟后再重试。 | 尝试下载的 CRL 文件Microsoft Entra ID大于服务设置的大小限制。 Microsoft Entra将尝试在后台下载并具有更高限制。 | - 由证书颁发机构(CA)发布的证书吊销列表(CRL)文件太大,通常是由于撤销的证书数量过多。 - 如果未清理吊销的证书,或者 CA 将吊销数据的过期时间设置得很长,则可能会出现大型 CRL。 - 在基于证书的身份验证期间,大型 CRL 大小会增加下载时间和资源消耗。 |
- 从 CA 数据库中删除过时或过期的已吊销证书。 - 缩短 CRL 有效期并增加发布频率,使 CRL 大小可管理。 - 实施增量证书吊销列表,以仅分发增量吊销信息,从而减少带宽占用。 |
| AADSTS2205015:证书吊销列表(CRL)未能通过签名验证。 预期的 SubjectKeyIdentifier {expectedSKI} 与 CRL 的 AuthorityKeyIdentifier {crlAK} 不匹配。 请与管理员联系。 | 无法验证 CRL 上的加密签名,因为 CRL 由使用者密钥标识符(SKI)与Microsoft Entra ID预期的颁发机构密钥标识符(AKI)不匹配的证书进行签名。 | - 用于对 CRL 进行签名的 CA 证书已更改,但受信任的证书列表中未更新或同步新的 SKI。 - 由于 PKI 层次结构中的配置错误,CRL 已过时或不匹配。 - 受信任证书列表中的中间 CA 证书不正确或缺失。 - CRL 签名证书可能没有用于签名 CRL 的相应密钥用法。 |
- 检查用于签署 CRL 的 CA 证书的使用者密钥标识符(SKI)是否与 CRL 中的颁发机构密钥标识符(AKI)匹配。 - 确认签名 CA 证书已上传并在Microsoft Entra ID中受信任。 - 验证用于对 CRL 进行签名的 CA 证书是否已启用相应的密钥使用标志(例如 CRL 签名),并验证证书链是否完好无损且未中断。 - 在 Microsoft Entra ID 的受信任证书颁发机构列表中上传或更新正确的根证书和中间 CA 证书,并确保包含用于签署 CRL 的证书且配置正确。 |
| AADSTS7000214:证书已被吊销。 | 证书已被吊销。 | - CRL 中列出的证书 | - 替换吊销的证书 与 CA 调查吊销原因 - 监视证书生命周期和续订 |
常见问题
下一节介绍与证书吊销列表相关的常见问题和解答。
CRL 大小是否有限制?
以下 CRL 大小限制适用:
- 交互式登录的下载限制:20 MB(适用于 Azure 全球,包括 GCC),45 MB(适用于 Azure 美国政府,包括 GCC High 和美国国防部)
- 下载服务限制:65 MB(适用于 Azure 全球,包括 GCC),150 MB(适用于 Azure 美国政府,包括 GCC High 和国防部)
CRL 下载失败时,将显示以下消息:
从 {uri} 下载的证书吊销列表 (CRL) 已超过 Microsoft Entra ID 中 CRL 允许的最大大小({size} 字节)。 在几分钟内重试。 如果问题仍然存在,请与租户管理员联系。
下载仍保留在后台,限制更高。
我们正在审查这些限制的影响,并制定删除这些限制的计划。
我看到一个有效的证书吊销列表(CRL)终结点集,但为什么我没有看到任何吊销记录?
- 确保 CRL 分发点设置为有效的 HTTP URL。
- 确保可通过面向 Internet 的 URL 访问 CRL 分发点。
- 确保 CRL 大小在限制范围内。
如何立即吊销证书?
按照步骤 手动吊销证书。
如何打开或关闭特定 CA 的证书吊销检查?
建议不要禁用证书吊销列表(CRL)检查,因为无法吊销证书。 但是,如果需要调查 CRL 检查问题,可以在 Microsoft Entra 管理中心 中取消对 CA 的 CRL 检查。 在 CBA 身份验证方法策略中,选择“ 配置 ”,然后选择“ 添加豁免”。 选择要免除的 CA,然后选择“ 添加”。
配置 CRL 终结点后,最终用户无法登录,他们会看到“AADSTS500173:无法下载 CRL。 无效状态代码:来自 CRL 分发点的禁止访问。
当问题阻止Microsoft Entra下载 CRL 时,原因通常是防火墙限制。 在大多数情况下,可以通过更新防火墙规则来允许所需的 IP 地址来解决此问题,以便Microsoft Entra可以成功下载 CRL。 有关详细信息,请参阅 list of Microsoft IPAddress。
如何查找 CA 的 CRL,或者如何排查错误“AADSTS2205015:证书吊销列表(CRL)签名验证失败”?
下载 CRL 并比较 CA 证书和 CRL 信息,以验证该值是否 crlDistributionPoint 对要添加的 CA 有效。 可以通过将 CA 的颁发者主体密钥标识符 (SKI) 与 CRL 的颁发者密钥标识符 (AKI) 匹配 (即 CA 颁发者 SKI == CRL AKI),将 CRL 配置为相应的 CA。
下表和图显示了如何将 CA 证书中的信息映射到下载的 CRL 的属性。
| CA 证书信息 | = | 下载的 CRL 信息 |
|---|---|---|
| Subject | = | 发行人 |
| 使用者密钥标识符(SKI) | = | 授权密钥标识符(KeyID) |
