Elenco di Revoche dei Certificati (CRL) per l'Autenticazione Basata su Certificato di Microsoft Entra

Un elenco di revoche di certificati (CRL) è un elenco di certificati revocati dall'autorità di certificazione emittente prima della data di scadenza pianificata. I CRL sono essenziali per mantenere l'integrità dell'autenticazione. Quando un certificato viene revocato, viene contrassegnato come non attendibile anche se non è scaduto. L'incorporamento di CRL nell'autenticazione basata su certificati garantisce che vengano accettati solo certificati validi e non revocati e Microsoft Entra ID blocca qualsiasi tentativo usando un certificato revocato.

I CRL sono firmati digitalmente dalla CA e pubblicati in percorsi accessibili pubblicamente, consentendo loro di essere scaricati tramite Internet per verificare lo stato di revoca dei certificati. Quando un client presenta un certificato per l'autenticazione, il sistema controlla il CRL per determinare se il certificato è stato revocato.

Se il certificato viene trovato nel CRL, il tentativo di autenticazione viene rifiutato. I CRL vengono in genere aggiornati periodicamente e le organizzazioni devono assicurarsi di avere la versione più recente del CRL per prendere decisioni accurate sulla validità del certificato.

In Microsoft Entra nell'autenticazione basata su certificati (CBA), quando è configurato il CRL, il sistema deve recuperare e convalidare il CRL durante l'autenticazione. Se Microsoft Entra ID non è in grado di accedere all'endpoint CRL, l'autenticazione ha esito negativo perché è necessario confermare la validità del certificato.

Funzionamento di un CRL nell'autenticazione basata su certificati

Un CRL funziona fornendo un meccanismo per verificare la validità dei certificati usati per l'autenticazione. Il processo prevede diversi passaggi chiave:

Rilascio di certificati: Quando un certificato viene rilasciato da una CA, è valido fino alla data di scadenza, a meno che non venga revocato in precedenza. Ogni certificato contiene una chiave pubblica e viene firmato dalla CA.
Revoca: Se è necessario revocare un certificato ( ad esempio, se la chiave privata è compromessa o il certificato non è più necessario), la CA lo aggiunge al CRL.
Distribuzione CRL: La CA pubblica il CRL in un percorso accessibile dai client, ad esempio un server Web o un servizio directory. Il CRL viene in genere firmato dalla CA per garantire l'integrità. Se il CRL non è firmato dalla CA, viene generato un errore di crittografia AADSTS2205015 e seguire la procedura descritta in Domande frequenti per risolvere il problema.
Controllo client: Quando un client presenta un certificato per l'autenticazione, il sistema recupera la CRL per ogni CA nella catena dei certificati dalle posizioni pubblicate e verifica la presenza di eventuali CA revocate. Se un percorso CRL non è disponibile, l'autenticazione non riesce perché il sistema non è in grado di verificare lo stato di revoca del certificato.
Autenticazione: Se il certificato viene trovato nel CRL, il tentativo di autenticazione viene rifiutato e il client viene negato l'accesso. Se il certificato non è incluso nel CRL, l'autenticazione procede normalmente.
Aggiornamenti CRL: Il CRL viene aggiornato periodicamente dalla CA e i client devono assicurarsi di avere la versione più recente per prendere decisioni accurate sulla validità del certificato. Il sistema memorizza nella cache il CRL per un determinato periodo per ridurre il traffico di rete e migliorare le prestazioni, ma verifica regolarmente la disponibilità di aggiornamenti.

Informazioni sul processo di revoca dei certificati nell'autenticazione basata su certificati Microsoft Entra

Il processo di revoca dei certificati consente agli amministratori dei criteri di autenticazione di revocare un certificato rilasciato in precedenza in modo che non possa essere usato per l'autenticazione futura.

Gli amministratori dei criteri di autenticazione configurano il punto di distribuzione CRL durante il processo di installazione per le autorità emittenti attendibili nel tenant Microsoft Entra. Ogni autorità emittente attendibile deve avere un CRL a cui è possibile fare riferimento usando un URL con connessione Internet. Per altre informazioni, vedere Configurare le autorità di certificazione.

Microsoft Entra ID supporta un solo endpoint CRL e supporta solo HTTP o HTTPS. È consigliabile usare HTTP anziché HTTPS per la distribuzione CRL. I controlli CRL vengono eseguiti durante l'autenticazione basata su certificati e qualsiasi ritardo o errore nel recupero del CRL può bloccare l'autenticazione. L'uso di HTTP riduce al minimo la latenza ed evita potenziali dipendenze circolari causate da HTTPS (che richiede la convalida del certificato). Per garantire l'affidabilità, ospitare CRL su endpoint HTTP a disponibilità elevata e verificare che siano accessibili tramite Internet.

Importante

La dimensione massima di un CRL per il Microsoft Entra ID per essere scaricata con successo durante un'autenticazione interattiva è di 20 MB nel Microsoft Entra ID pubblico e 45 MB nei cloud Azure Governo Statunitense. Il tempo necessario per scaricare il CRL non deve superare i 10 secondi. Se Microsoft Entra ID non è possibile scaricare un CRL, le autenticazioni basate su certificati usando i certificati rilasciati dalla CA corrispondente hanno esito negativo. Come procedura consigliata per mantenere i file CRL entro i limiti di dimensioni, mantenere la durata dei certificati entro limiti ragionevoli e pulire i certificati scaduti.

Quando un utente esegue un accesso interattivo con un certificato, Microsoft Entra ID scarica e memorizza nella cache l'elenco di revoche di certificati (CRL) del cliente dall'autorità di certificazione per verificare se i certificati vengono revocati durante l'autenticazione dell'utente. Microsoft Entra usa l'attributo SubjectKeyIdentifier anziché SubjectName per compilare la catena di certificati. Quando i CRL sono abilitati, le configurazioni PKI devono includere i valori SubjectKeyIdentifier e Authority Key Identifier per garantire il corretto controllo delle revoche.

SubjectKeyIdentifier fornisce un identificatore univoco non modificabile per la chiave pubblica del certificato, rendendolo più affidabile di SubjectName, che può essere modificato o duplicato tra i certificati. Questo attributo garantisce la creazione accurata della catena e la convalida CRL coerente in ambienti PKI complessi.

Importante

Se un amministratore dei criteri di autenticazione ignora la configurazione del CRL, Microsoft Entra ID non esegue controlli CRL durante l'autenticazione basata su certificato dell'utente. Questo comportamento può essere utile per la risoluzione dei problemi iniziale, ma non deve essere considerato per l'uso in produzione.
- Solo CRL di base: se è configurato solo il CRL di base, Microsoft Entra ID scarica e lo memorizza nella cache fino al timestamp dell'aggiornamento successivo. L'autenticazione ha esito negativo se il CRL è scaduto e non può essere aggiornato a causa di problemi di connettività o se l'endpoint CRL non fornisce una versione aggiornata. Microsoft Entra applica rigorosamente il controllo delle versioni CRL: quando viene pubblicato un nuovo CRL, il numero CRL deve essere superiore alla versione precedente.
  
  CRL Number assicura la versionatura monotona, impedendo attacchi di replay in cui potrebbe essere reintrodotto un CRL precedente per eludere i controlli di revoca. Richiedendo a ogni nuovo CRL di avere un numero di versione superiore, Microsoft Entra ID garantisce che i dati di revoca più recenti vengano sempre usati.
- Base + Delta CRL: quando entrambi sono configurati, entrambi devono essere validi e accessibili. Se manca o è scaduto, la convalida del certificato ha esito negativo per gli standard RFC 5280.
L'autenticazione basata su certificati utente ha esito negativo se un CRL è configurato per l'autorità emittente attendibile e Microsoft Entra ID non può scaricare il CRL, a causa di vincoli di disponibilità, dimensioni o latenza. Questa limitazione rende l'endpoint CRL un singolo punto di errore critico, riducendo la resilienza dell'autenticazione basata su certificati di Microsoft Entra ID. Per ridurre questo rischio, è consigliabile usare soluzioni a disponibilità elevata che garantiscono un tempo di attività continuo per gli endpoint CRL.
Se il CRL supera il limite interattivo per un cloud, l'accesso iniziale dell'utente ha esito negativo e viene visualizzato l'errore seguente:

The Certificate Revocation List (CRL) downloaded from {uri} has exceeded the maximum allowed size ({size} bytes) for CRLs in Microsoft Entra ID. Try again in few minutes. If the issue persists, contact your tenant administrators.
Microsoft Entra ID tenta di scaricare la CRL (Certificate Revocation List) soggetta ai limiti del lato server (65 MB in Microsoft Entra ID pubblico e 150 MB in Azure per il Governo degli Stati Uniti).
Gli utenti possono ritentare l'autenticazione dopo alcuni minuti. Se il certificato dell'utente viene revocato e viene visualizzato nel CRL, l'autenticazione non riesce.

Importante

La revoca dei token per un certificato revocato non è immediata a causa della memorizzazione nella cache CRL. Se un CRL è già memorizzato nella cache, i certificati appena revocati non vengono rilevati finché la cache non viene aggiornata con un CRL aggiornato. I Delta CRL in genere includono questi aggiornamenti, quindi la revoca diventa effettiva una volta caricato il Delta CRL. Se i CRL differenziali non vengono usati, la revoca dipende dal periodo di validità del CRL di base. Gli amministratori devono revocare manualmente i token solo quando la revoca immediata è critica, ad esempio in scenari di sicurezza elevata. Per altre informazioni, vedere Configurare la revoca.
Il protocollo OCSP (Online Certificate Status Protocol) non è supportato a causa di motivi di prestazioni e affidabilità. Anziché scaricare il CRL a ogni connessione dal browser client per OCSP, Microsoft Entra ID scaricarlo una volta al primo accesso e memorizzarlo nella cache. Questa azione migliora le prestazioni e l'affidabilità della verifica CRL. La cache viene indicizzata anche in modo che la ricerca sia molto più veloce ogni volta.
Se Microsoft Entra scarica correttamente il CRL, memorizza nella cache e riutilizza il CRL per qualsiasi utilizzo successivo. Rispetta la Next update date e, se disponibile, la Next CRL Publish date (usata dai CAs di Windows Server) nel documento CRL.
Se il certificato dell'utente è elencato come revocato in CRL, l'autenticazione utente ha esito negativo.

Importante

Data la particolare natura dei cicli di memorizzazione nella cache e pubblicazione delle liste di revoca dei certificati (CRL), è fortemente consigliato che, in caso di revoca di un certificato, si revochino anche tutte le sessioni dell'utente interessato in Microsoft Entra ID.
Microsoft Entra ID tenta di recuperare un nuovo CRL dal punto di distribuzione se il documento CRL memorizzato nella cache è scaduto. Se CRL ha una data di pubblicazione successiva Microsoft Entra esegue un prelettura CRL anche se la CRL nella cache non è scaduta. A partire dal momento, non è possibile forzare manualmente o ritentare il download del CRL.

Annotazioni

Microsoft Entra ID controlla il CRL della CA emittente e di altre CA nella catena di fiducia PKI fino alla CA radice. È previsto un limite di fino a 10 CA dal certificato client di foglia per la convalida CRL della catena PKI. La limitazione consiste nel garantire che un utente malevolo non arresti il servizio caricando una catena PKI con un numero enorme di CA e dimensioni CRL maggiori. Se la catena PKI del tenant ha più di 10 CA e, in caso di compromissione della CA, gli amministratori dei criteri di autenticazione devono rimuovere l'autorità emittente attendibile compromessa dalla configurazione del tenant Microsoft Entra. Per ulteriori informazioni, consultare Pre-fetching CRL.

Come configurare la revoca

Per revocare un certificato client, Microsoft Entra ID recupera l'elenco di revoche di certificati (CRL) dagli URL caricati come parte delle informazioni dell'autorità di certificazione e lo memorizza nella cache. L'ultimo timestamp di pubblicazione (proprietà Data effettiva ) nel CRL viene usato per assicurarsi che il CRL sia ancora valido. Il CRL viene referenziato periodicamente per revocare l'accesso ai certificati che fanno parte dell'elenco.

Revoca immediata delle sessioni con Entra CBA

Esistono molti scenari che potrebbero richiedere a un amministratore di revocare immediatamente tutti i token di sessione, in modo che tutti gli accessi per un utente vengano revocati. Tali scenari includono

account compromessi
terminazione dei dipendenti
Interruzione dell'entrata in cui vengono usate le credenziali memorizzate nella cache che non includono la convalida CRL
altre minacce interne.

Se è necessaria una revoca più immediata (ad esempio in caso di smarrimento del dispositivo da parte di un utente), il token di autorizzazione dell'utente può essere annullato. Per invalidare il token di autorizzazione, impostare il campo StsRefreshTokensValidFrom per questo particolare utente usando Windows PowerShell. È necessario aggiornare il campo StsRefreshTokensValidFrom per ogni utente per cui si vuole revocare l'accesso.

Per garantire che la revoca venga mantenuta, è necessario impostare la data di validità del CRL su una data successiva al valore impostato da StsRefreshTokensValidFrom e assicurarsi che il certificato in questione si trovi nel CRL.

I passaggi seguenti illustrano il processo di aggiornamento e invalidazione del token di autorizzazione impostando il campo StsRefreshTokensValidFrom .

# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"

# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"

# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom

La data impostata deve essere futura. Se la data non è futura, la proprietà StsRefreshTokensValidFrom non è impostata. Se la data è futura, StsRefreshTokensValidFrom è impostata sull'ora corrente (non la data indicata dal comando Set-MsolUser).

Applicare la convalida CRL per le CA

Quando si caricano le CA nell'archivio attendibilità di Microsoft Entra, non è necessario includere una CRL o l'attributo CrlDistributionPoint. È possibile caricare una CA senza un endpoint CRL e l'autenticazione basata su certificati non ha esito negativo se una CA emittente non specifica un CRL.

Per rafforzare la sicurezza ed evitare errori di configurazione, un amministratore dei criteri di autenticazione può richiedere il fallimento dell'autenticazione CBA se una CA che rilascia un certificato utente finale non configura un CRL.

Abilitare la convalida CRL

Selezionare Richiedi convalida CRL (scelta consigliata) per abilitare la convalida CRL.

Quando si abilita questa impostazione, l'autenticazione basata su certificato (CBA) non riesce se il certificato dell'utente finale proviene da una CA che non configura una CRL.
Un amministratore dei criteri di autenticazione può esentare una CA se il relativo CRL presenta problemi che devono essere risolti. Selezionare Aggiungi esenzione e scegliere eventuali ca da esentare.
Le CA nell'elenco delle CA esentate non devono configurare un CRL e i certificati dell'utente finale che rilasciano non falliscono l'autenticazione.

Selezionare i CA e selezionare Aggiungi. Usare la casella di testo Ricerca per filtrare gli elenchi CA e selezionare CA specifiche.

Linee guida per la configurazione di CRL (CRL di base e delta) per Microsoft Entra ID

Pubblicare CRL accessibili:
- Assicurarsi che la CA pubblica sia il CRL di base che i CRL differenziali (se applicabile) in URL con connessione Internet accessibili tramite HTTP.
- Microsoft Entra ID non può convalidare i certificati se le liste di revoca dei certificati (CRL) sono ospitate su server interni. Gli URL devono essere a disponibilità elevata, prestazioni e resilienza per evitare errori di autenticazione a causa dell'indisponibilità.
- Convalidare l'accessibilità CRL testando l'URL CRL in un browser e usando certutil -url per i controlli di distribuzione.
Configurare gli URL CRL in Microsoft Entra ID:
- Caricare il certificato pubblico della CA in Microsoft Entra ID e configurare i punti di distribuzione CRL (CDP).
- URL CRL di base: contiene tutti i certificati revocati.
- URL CRL delta (facoltativo ma consigliato): contiene i certificati revocati dopo la pubblicazione dell'ultima CRL di base.
- Usare strumenti come certutil per verificare la validità di CRL e risolvere i problemi di certificato e CRL in locale.
Impostare i periodi di validità:
- Impostare il periodo di validità CRL di base abbastanza lungo per bilanciare il sovraccarico operativo e la sicurezza (in genere giorni su settimane).
- Impostare il periodo di validità CRL delta più breve (comunemente 24 ore) per consentire il riconoscimento tempestivo dei certificati revocati.
- La validità CRL delta più breve migliora la sicurezza riducendo la finestra in cui i certificati revocati rimangono validi, ma aumentano il carico di rilascio e distribuzione.
- La validità predefinita consigliata di 24 ore per i CRL delta nei server Windows è una sicurezza e prestazioni standard ampiamente accettata.
- Microsoft Entra ID è progettato per gestire in modo efficiente gli aggiornamenti CRL differenziali frequenti senza riduzione delle prestazioni e miglioramenti continui consentono di migliorare ulteriormente questa funzionalità.
- Microsoft Entra ID applica meccanismi di limitazione per proteggere da attacchi DDoS durante i download delta CRL, che possono causare errori temporanei come "AADSTS2205013" per un piccolo subset di utenti.
Garantire disponibilità elevata e prestazioni:
- Ospitare CRL in server Web affidabili o reti per la distribuzione di contenuti (CDN) per ridurre al minimo i ritardi o gli errori durante il recupero.
- Monitorare la pubblicazione CRL e l'accessibilità in modo proattivo.
Protezione da attacchi DDoS (Distributed Denial of Service):
- Per proteggere i servizi e gli utenti di Microsoft Entra ID, la limitazione del traffico viene applicata alle operazioni di recupero CRL durante un carico elevato o un potenziale abuso.
- Pianificare i cicli di pubblicazione e scadenza dei CRL durante le ore di minore attività per ridurre al minimo la probabilità che la limitazione del traffico incida sugli utenti.
Gestione delle dimensioni CRL
- Mantenere i payload CRL il più piccoli possibile, idealmente con emissioni frequenti di delta CRL e archiviazione delle vecchie voci, per migliorare la velocità di recupero e ridurre il consumo di larghezza di banda.
Abilitare la convalida CRL
- Applicare la convalida CRL nei criteri di Microsoft Entra ID per garantire che vengano rilevati certificati revocati. Per altre informazioni, vedere Abilitare la convalida CRL.
- Prendere in considerazione il bypass temporaneo del controllo CRL solo come ultima risorsa durante la risoluzione dei problemi, con una comprensione dei rischi per la sicurezza.
Testare e monitorare
- Eseguire test regolari per verificare che i CRL siano scaricabili e riconosciuti correttamente da Microsoft Entra ID.
- Usare il monitoraggio per rilevare e correggere rapidamente eventuali problemi di disponibilità o convalida CRL.

Informazioni di riferimento sugli errori CRL

Codice di errore e messaggio	Description	Cause comuni	Recommendations
AADSTS500171: il certificato è stato revocato. Contattare l'amministratore.	Il certificato si trova nel CRL, a indicare che è stato revocato.	Il certificato viene revocato dall'amministratore.	Se un certificato viene erroneamente incluso nel CRL, chiedere alla CA emittente di eseguire nuovamente il CRL con un elenco aggiornato che riflette in modo accurato le revoche previste.
AADSTS500172: il certificato '{name}' rilasciato da '{issuer}' non è valido. Ora corrente: '{curTime}'. Certificate NotBefore: '{startTime}'. Certificato Non Dopo: '{endTime}'.	CRL non è valido temporalmente.	I CRL o i CRL differenziali usati per convalidare il certificato presentano problemi di intervallo, ad esempio CRL scaduti o tempi di pubblicazione/validità configurati in modo non corretto.	- Verificare che le date NotBefore e NotAfter del certificato includano correttamente l'ora corrente. - Verificare che i CRL di base e differenziali pubblicati dalla CA non siano scaduti.
AADSTS500173: >impossibile scaricare un elenco di revoche di certificati (CRL). Codice di stato {code} non valido dal punto di distribuzione CRL. Contattare l'amministratore.	Non è stato possibile scaricare CRL a causa di problemi di endpoint.	- L'endpoint CRL restituisce errori HTTP (ad esempio 403) - CRL scaduto senza aggiornamento	- Verificare che l'endpoint CRL restituisca dati validi - Assicurarsi che la CA pubblica regolarmente crl aggiornate - L'URL CRL non è accessibile a causa di problemi di rete, blocchi del firewall o tempi di inattività del server. - Abilitare il fail-safe CRL per bloccare i certificati non verificabili.
AADSTS500174: non è possibile costruire un elenco di revoche di certificati (CRL) valido dalla risposta.	Microsoft Entra ID non può analizzare o usare il CRL recuperato dal punto di distribuzione specificato.	- L'URL CRL non è accessibile a causa di problemi di rete, blocchi del firewall o tempi di inattività del server. - Il file CRL scaricato è danneggiato, incompleto o formattato in modo non corretto. - Gli URL nei campi CDP del certificato non puntano a file CRL validi o non sono configurati in modo errato.	- Verificare l'accessibilità, la validità e l'integrità CRL. - Esaminare il file CRL per individuare il contenuto danneggiato o incompleto.
AADSTS500175: controllo della revoca non riuscito perché manca l'elenco di revoche di certificati (CRL) per un certificato nella catena.	Durante la verifica della revoca dei certificati, Microsoft Entra non è riuscito a trovare un segmento o una parte necessaria della lista di revoca certificati (CRL).	- Il file CRL scaricato dal punto di distribuzione CRL (CDP) è danneggiato o troncato. - Pubblicazione errata o incompleta del CRL dalla CA. - Problemi di rete che causano download CRL incompleti o non riusciti. - Configurazione errata degli URL dei punti di distribuzione CRL o dei segmenti di file.	- Verificare l'integrità CRL - Ripubblicare o rigenerare CRL - Controllare le impostazioni di rete e proxy - Assicurarsi di correggere la configurazione CDP in tutte le CA
AADSTS500176: l'autorità di certificazione che ha emesso il certificato non è stata configurata nel tenant. Contattare l'amministratore.	Microsoft Entra non può individuare il certificato della CA emittente nel suo archivio certificati fidati. In questo modo si impedisce la convalida corretta della catena di attendibilità del certificato utente.	- Il certificato CA emittente (radice o intermedio) non viene caricato o configurato nell'elenco dei certificati attendibili Microsoft Entra ID. - La catena di certificati archiviata nel client o nel dispositivo non si collega correttamente a un certificato CA attendibile. - Riferimenti Subject Key Identifier (SKI) e Authority Key Identifier (AKI) non corrispondenti o mancanti nella catena di certificati. - Il certificato emittente potrebbe essere scaduto, revocato o altrimenti non valido.	- L'amministratore del tenant deve caricare tutti i certificati CA radice e intermedi pertinenti nell'archivio certificati attendibile Microsoft Entra tramite il Interfaccia di amministrazione di Microsoft Entra. - Verificare che lo SKI del certificato CA emittente corrisponda all'AKI nel certificato dell'utente per garantire un collegamento di catena appropriato. - Usare strumenti come certutil o OpenSSL per verificare che la catena di certificati completa sia intatta, non interrotta e attendibile. - Sostituire i certificati CA scaduti o revocati nell'archivio attendibile per mantenere la validità della catena.
AADSTS500177: Elenco di revoche di certificati (CRL) non configurato correttamente. Il punto di distribuzione CRL delta è configurato senza un punto di distribuzione CRL di base corrispondente. Contattare l'amministratore.	Indica che la configurazione della CA include un punto di distribuzione Delta CRL, ma il punto di distribuzione CRL di base corrispondente è mancante o non configurato correttamente.	- I punti di distribuzione CRL configurati nei certificati o nelle impostazioni della CA non sono validi, inaccessibili o non corretti. - La CA non ha pubblicato correttamente il CRL o il CRL è scaduto, causando errori di convalida. - I dispositivi o i servizi Microsoft Entra ID non possono accedere agli URL CRL a causa di regole del firewall, restrizioni proxy o problemi di connettività di rete. - Impostazioni configurate in modo errato in Microsoft Entra o nell'autorità di certificazione emittente correlata alla gestione CRL.	- Confermare e aggiornare i punti di distribuzione CRL in URL accurati e accessibili pubblicamente. - Assicurarsi che i CRL vengano pubblicati e rinnovati regolarmente prima della scadenza. Automatizzare, se possibile, la pubblicazione di CRL. - Consentire il traffico di rete necessario ai punti di distribuzione CRL aggiornando le regole del firewall, del proxy o dei dispositivi di sicurezza. - Verificare i CRL scaricati per verificare se sono danneggiati o troncati ed eventualmente ripubblicarli. - Ricontrollare Microsoft Entra ID e le configurazioni CA relative alla pubblicazione di CRL, agli URL e ai criteri di convalida.
AADSTS500178: impossibile recuperare segmenti CRL validi per {type}. Riprova più tardi.	Microsoft Entra ID non riesce a scaricare o elaborare tutti i segmenti necessari dell'elenco di revoche di certificati (CRL) durante la convalida del certificato.	- Il CRL viene pubblicato in più segmenti e uno o più segmenti sono mancanti, danneggiati o inaccessibili. - Restrizioni di rete o firewall bloccano l'accesso a uno o più segmenti CRL. - I segmenti CRL disponibili potrebbero essere scaduti o non aggiornati correttamente. - URL non corretti o voci mancanti nei punti di distribuzione CRL del certificato in cui sono ospitati i segmenti.	- Scaricare manualmente tutti i segmenti CRL dai punti di distribuzione e verificare la completezza e la validità. - Assicurarsi che tutti gli URL dei segmenti CRL siano configurati e accessibili correttamente. Aggiornare i certificati o le configurazioni della CA se gli URL CDP sono stati modificati. - Confermare che la CA pubblica e gestisce correttamente tutti i segmenti CRL senza danneggiamento o parti mancanti.
AADSTS500179: la convalida del CRL è scaduta. Riprovare più tardi.	Timeout del download CRL o è stato interrotto.	- Le dimensioni CRL superano i limiti - Latenza di rete o instabilità	- Mantenere la dimensione CRL inferiore a 20 MB (Azure commerciale) o 45 MB (Azure per il governo degli Stati Uniti) - Impostare `Next Update` l'intervallo su almeno una settimana - Monitorare le prestazioni di download CRL tramite i log di accesso.
AADSTS500183: il certificato è stato revocato. Contattare l'amministratore	Tentativo di autenticazione non riuscito perché il dispositivo client ha presentato un certificato revocato dalla CA emittente.	Il certificato usato per l'autenticazione si trova nell'elenco di revoche di certificati (CRL) o contrassegnato come revocato dalla CA.	- L'amministratore del tenant deve assicurarsi che il nuovo certificato sia distribuito correttamente e considerato attendibile da Microsoft Entra ID. - Verificare che le CRL e le CRL delta pubblicate dalla vostra CA siano aggiornate e accessibili per i dispositivi.
AADSTS2205011: l'elenco di revoche di certificati (CRL) scaricato non è in un formato di codifica ASN.1 valido. Contattare l'amministratore.	Il file CRL recuperato da Microsoft Entra non viene codificato correttamente in base allo standard ASN.1 (Abstract Syntax Notation One) Distinguished Encoding Rules (DER), necessario per l'analisi e la convalida dei dati CRL.	- Il file CRL è danneggiato o troncato durante la pubblicazione o la trasmissione. - Il CRL è stato generato o codificato in modo non corretto dalla CA e non è conforme agli standard ASN.1 DER. - Le conversioni di formato di file (ad esempio la codifica base64/PEM non corretta) hanno danneggiato i dati CRL.	- Scaricare manualmente il CRL ed esaminarlo con strumenti come openssl o parser ASN.1 specializzati per verificare se è danneggiato o non valido. - Rigenerare e ripubblicare il CRL dalla CA garantendo la conformità agli standard di codifica DER ASN.1. - Assicurarsi che il software o gli strumenti ca che generano CRL siano conformi a RFC 5280 e codificano correttamente i CRL in formato ASN.1 DER.
AADSTS2205012: Il tentativo di scaricare l'elenco di revoche di certificati (CRL) da '{uri}' durante l'accesso interattivo è scaduto. Stiamo cercando di scaricarlo di nuovo. Riprovare tra qualche minuto.	Microsoft Entra ID non è stato possibile recuperare il file CRL entro il tempo previsto dall'URL specificato.	- Microsoft Entra ID i servizi non possono raggiungere il punto di distribuzione CRL a causa di interruzioni di rete, restrizioni del firewall o errori DNS. - Il server che ospita il CRL è inattivo, sottoposto a overload o non risponde in modo tempestivo. - I CRL di grandi dimensioni richiedono più tempo per il download, causando potenzialmente timeout.	- Usare CRL delta per mantenere le dimensioni dei file CRL più piccole e aggiornare più frequentemente per ridurre il tempo di download. - Pubblicare o aggiornare CRL durante le ore di minore attività per ridurre il carico del server e migliorare i tempi di risposta. - Monitorare e mantenere disponibilità elevata e prestazioni dei server di hosting CRL.
AADSTS2205013: il download dell'elenco di revoche di certificati (CRL) è attualmente in corso. Riprovare tra qualche minuto.	Si verifica quando più tentativi di autenticazione attivano simultaneamente download CRL e il sistema sta ancora elaborando il recupero CRL corrente.	- Quando un CRL scade o sta per scadere, più utenti che accedono contemporaneamente possono causare tentativi simultanei di scaricare il nuovo CRL. - Microsoft Entra ID applica un meccanismo di blocco per impedire il download simultaneo della stessa CRL, al fine di ridurre il carico e le condizioni di race condition potenziali. Questo causa il rifiuto temporaneo di alcune richieste di autenticazione con il seguente messaggio di ripetizione del tentativo. - Popolamenti di utenti di grandi dimensioni o picchi di accesso pesanti possono aumentare la frequenza di questo errore.	- Attendere alcuni minuti per il completamento del download CRL in corso prima di ripetere l'accesso. - Assicurarsi che i CRL vengano pubblicati e aggiornati regolarmente prima della scadenza per ridurre i download forzati.
AADSTS2205014:Il tentativo di scaricare l'elenco di revoche di certificati (CRL) da '{uri}' durante l'accesso interattivo ha superato le dimensioni massime consentite ({size} byte). Il provisioning del CRL è attualmente in corso con il limite massimo di download del servizio CRL. Si prega di riprovare tra qualche minuto.	Il file CRL Microsoft Entra ID tentato di scaricare è maggiore del limite di dimensioni impostato dal servizio. Microsoft Entra proverà a scaricare in background con limiti più elevati.	- Il file CRL pubblicato dalla CA è troppo grande, spesso a causa di un numero elevato di certificati revocati. - I CRL di grandi dimensioni possono verificarsi se i certificati revocati non vengono puliti o se la CA mantiene lunghi periodi di scadenza per i dati di revoca. - Dimensioni CRL di grandi dimensioni aumentano i tempi di download e l'utilizzo delle risorse durante l'autenticazione basata su certificati.	- Rimuovere i certificati non aggiornati o scaduti dal database della CA. - Abbreviare i periodi di validità CRL e aumentare la frequenza di pubblicazione per mantenere gestibili le dimensioni CRL. - Implementare CRL delta per distribuire solo informazioni di revoca incrementali e ridurre la larghezza di banda.
AADSTS2205015: la convalida della firma dell'elenco di revoche di certificati (CRL) non è riuscita. L'oggetto SubjectKeyIdentifier {expectedSKI} previsto non corrisponde all'AuthorityKeyIdentifier {crlAK}. Contattare l'amministratore.	Non è stato possibile convalidare la firma crittografica in CRL perché il CRL è stato firmato da un certificato il cui identificatore di chiave del soggetto (SKI) non corrisponde all'identificatore di chiave dell'autorità (AKI) previsto da Microsoft Entra ID.	- Il certificato CA utilizzato per firmare il CRL è cambiato, ma il nuovo SKI non è stato aggiornato o sincronizzato nell'elenco dei certificati attendibili. - CRL non aggiornato o non corrispondente a causa di errori di configurazione nella gerarchia PKI. - Certificati ca intermedi non corretti o mancanti nell'elenco di certificati attendibili. - Il certificato di firma CRL potrebbe non avere l'utilizzo della chiave appropriato per la firma di CRL.	- Controllare che l'identificatore di chiave del soggetto (SKI) del certificato CA che firma il CRL, corrisponda all'identificatore di chiave dell'autorità (AKI) nel CRL. - Verificare che il certificato della CA di firma sia caricato e considerato attendibile in Microsoft Entra ID. - Verificare che il certificato della CA usato per firmare il CRL disponga dei flag di utilizzo delle chiavi appropriati abilitati (ad esempio la firma CRL) e verificare che la catena di certificati sia intatta e non interrotta. - Caricare o aggiornare i certificati ca radice e intermedi corretti nell'elenco delle autorità di certificazione attendibili di Microsoft Entra ID e assicurarsi che il certificato usato per firmare l'elenco di certificati CRL sia incluso e configurato correttamente.
AADSTS7000214: il certificato è stato revocato.	Il certificato è stato revocato.	- Certificato elencato in CRL	- Sostituire il certificato revocato - Analizzare il motivo della revoca con l'autorità di certificazione - Monitorare il ciclo di vita e il rinnovo dei certificati

Domande frequenti

Le sezioni successive illustrano domande e risposte comuni relative agli elenchi di revoche di certificati.

Esiste un limite per le dimensioni CRL?

Si applicano i limiti di dimensione CRL seguenti:

Limite di download di accesso interattivo: 20 MB (Azure Global include GCC), 45 MB per Azure per il governo degli Stati Uniti, include GCC High, Dipartimento della Difesa
Limite di download del servizio: 65 MB (Azure Global include GCC), 150 MB per Azure governo degli Stati Uniti, include GCC High e Dipartimento della Difesa.

Quando un download CRL ha esito negativo, viene visualizzato il messaggio seguente:

"L'elenco di revoche di certificati (CRL) scaricato da {uri} ha superato le dimensioni massime consentite ({size} byte) per i CRL in Microsoft Entra ID. Riprovare in pochi minuti. Se il problema persiste, contattare gli amministratori tenant."

Il download rimane in background con limiti più elevati.

Stiamo esaminando l'impatto di questi limiti e abbiamo intenzione di rimuoverli.

Viene visualizzato un set di endpoint CRL (Certificate Revocation List) valido, ma perché non viene visualizzata alcuna revoca CRL?

Assicurarsi che il punto di distribuzione CRL sia impostato su un URL HTTP valido.
Assicurarsi che il punto di distribuzione CRL sia accessibile tramite un URL con connessione Internet.
Assicurarsi che le dimensioni CRL siano entro i limiti.

Come si revoca immediatamente un certificato?

Seguire la procedura per revocare manualmente un certificato.

Come è possibile attivare o disattivare il controllo delle revoche di certificati per una determinata CA?

È consigliabile disabilitare il controllo dell'elenco di revoche di certificati perché non sarà possibile revocare i certificati. Tuttavia, se è necessario analizzare i problemi relativi al controllo CRL, è possibile esentare una CA dal controllo CRL nel Interfaccia di amministrazione di Microsoft Entra. Nel criterio Metodi di autenticazione CBA selezionare Configura e quindi selezionare Aggiungi esenzione. Scegliere la CA da escludere e selezionare Aggiungi.

Quando un problema impedisce Microsoft Entra di scaricare il CRL, la causa è spesso restrizioni del firewall. Nella maggior parte dei casi, è possibile risolvere il problema aggiornando le regole del firewall per consentire gli indirizzi IP richiesti, affinché Microsoft Entra possa scaricare correttamente il CRL. Per altre informazioni, vedere Download Azure IP Ranges and Service Tags – Public Cloud from Official Area download Microsoft.

Come trovare l'Elenco di Revoche di Certificati (CRL) per una CA o come risolvere l'errore "AADSTS2205015: La verifica della firma dell'Elenco di Revoche di Certificati (CRL) non è riuscita"?

Scaricare il CRL e confrontare il certificato CA e le informazioni CRL per verificare che il crlDistributionPoint valore sia valido per la CA da aggiungere. È possibile configurare il CRL alla CA corrispondente associando l'identificatore della chiave principale del soggetto della CA (SKI) all'identificatore della chiave dell'autorità (AKI) del CRL (CA Issuer SKI == CRL AKI).

La tabella e la figura seguenti illustrano come eseguire il mapping delle informazioni dal certificato CA agli attributi del CRL scaricato.

Informazioni sul certificato DELLA CA	=	Informazioni CRL scaricate
Oggetto	=	Emittente
Identificatore chiave soggetto (SKI)	=	Identificatore chiave dell'autorità (KeyID)

Screenshot che confronta i campi dei certificati CA con le informazioni sui CRL.

Elenco delle liste di revoca dei certificati di Microsoft Entra CBA

Passaggi successivi

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-04-14