Microsoft Entra zertifikatbasierte Authentifizierungszertifikatsperrliste (Certificate Revocation List, CRL)

Eine Zertifikatsperrliste (Certificate Revocation List, CRL) ist eine Liste von Zertifikaten, die von der ausstellenden Zertifizierungsstelle vor dem geplanten Ablaufdatum widerrufen wurden. CRLs sind für die Authentifizierungsintegrität unerlässlich. Wenn ein Zertifikat widerrufen wird, wird es auch dann als nicht vertrauenswürdig markiert, wenn es nicht abgelaufen ist. Durch die Einbeziehung von CRLs in die zertifikatbasierte Authentifizierung wird sichergestellt, dass nur gültige, nicht widerrufene Zertifikate akzeptiert werden, und Microsoft Entra ID jeden Versuch mit einem widerrufenen Zertifikat blockiert.

CRLs werden von der Zertifizierungsstelle digital signiert und an öffentlich zugänglichen Speicherorten veröffentlicht, sodass sie über das Internet heruntergeladen werden können, um den Sperrstatus von Zertifikaten zu überprüfen. Wenn ein Client ein Zertifikat für die Authentifizierung darstellt, überprüft das System die CRL, um zu ermitteln, ob das Zertifikat widerrufen wurde.

Wenn das Zertifikat in der CRL gefunden wird, wird der Authentifizierungsversuch abgelehnt. CRLs werden in der Regel regelmäßig aktualisiert, und Organisationen sollten sicherstellen, dass sie über die neueste Version der CRL verfügen, um genaue Entscheidungen über die Gültigkeit von Zertifikaten zu treffen.

In der Microsoft Entra zertifikatbasierten Authentifizierung (CBA) muss das System, wenn CRLs konfiguriert sind, die CRL während der Authentifizierung abrufen und überprüfen. Wenn Microsoft Entra ID nicht auf den CRL-Endpunkt zugreifen kann, schlägt die Authentifizierung fehl, da die CRL erforderlich ist, um die Gültigkeit des Zertifikats zu bestätigen.

Funktionsweise einer CRL in zertifikatbasierter Authentifizierung

Eine CRL funktioniert, indem ein Mechanismus bereitgestellt wird, um die Gültigkeit von Zertifikaten zu überprüfen, die für die Authentifizierung verwendet werden. Der Prozess umfasst mehrere wichtige Schritte:

  • Zertifikatausstellung: Wenn ein Zertifikat von einer Zertifizierungsstelle ausgestellt wird, ist es bis zum Ablaufdatum gültig, es sei denn, es wird zuvor widerrufen. Jedes Zertifikat enthält einen öffentlichen Schlüssel und wird von der Zertifizierungsstelle signiert.

  • Widerruf: Wenn ein Zertifikat widerrufen werden muss (z. B. wenn der private Schlüssel kompromittiert wird oder das Zertifikat nicht mehr benötigt wird), fügt die Zertifizierungsstelle es der CRL hinzu.

  • CRL-Verteilung: Die Zertifizierungsstelle veröffentlicht die CRL an einem Speicherort, auf den Clients zugreifen können, z. B. einen Webserver oder einen Verzeichnisdienst. Die CRL wird in der Regel von der Zertifizierungsstelle signiert, um die Integrität sicherzustellen. Wenn die CRL nicht von der Zertifizierungsstelle signiert ist, wird der Kryptografiefehler AADSTS2205015 ausgelöst und Sie sollten die in den FAQ beschriebenen Schritte ausführen, um das Problem zu beheben.

  • Überprüfung des Clients: Wenn ein Client ein Zertifikat zur Authentifizierung vorlegt, ruft das System die CRL für jede Zertifizierungsstelle in der Zertifikatkette von den veröffentlichten Speicherorten ab und prüft auf widerrufene Zertifizierungsstellen. Wenn ein CRL-Speicherort nicht verfügbar ist, schlägt die Authentifizierung fehl, da das System den Sperrstatus des Zertifikats nicht überprüfen kann.

  • Authentifizierung: Wenn das Zertifikat in der CRL gefunden wird, wird der Authentifizierungsversuch abgelehnt, und der Client wird der Zugriff verweigert. Wenn sich das Zertifikat nicht in der CRL befindet, wird die Authentifizierung normal fortgesetzt.

  • CRL-Updates: Die CRL wird regelmäßig von der Zertifizierungsstelle aktualisiert, und Clients sollten sicherstellen, dass sie über die neueste Version verfügen, um genaue Entscheidungen zur Zertifikatgültigkeit zu treffen. Das System speichert die CRL für einen bestimmten Zeitraum zwischen, um den Netzwerkdatenverkehr zu reduzieren und die Leistung zu verbessern, aber das System sucht auch regelmäßig nach Updates.

Grundlegendes zum Zertifikatsperrprozess in Microsoft Entra zertifikatbasierter Authentifizierung

Mit dem Zertifikatsperrprozess können Authentifizierungsrichtlinienadministratoren ein zuvor ausgestelltes Zertifikat widerrufen, sodass es nicht für die zukünftige Authentifizierung verwendet werden kann.

Administratoren von Authentifizierungsrichtlinien konfigurieren den CRL-Verteilungspunkt während des Einrichtungsprozesses für vertrauenswürdige Anbieter im Microsoft Entra-Tenant. Jeder vertrauenswürdige Aussteller sollte über eine CRL verfügen, auf die Sie mithilfe einer internetorientierten URL verweisen können. Weitere Informationen finden Sie unter Konfigurieren von Zertifizierungsstellen.

Microsoft Entra ID unterstützt nur einen CRL-Endpunkt und nur HTTP oder HTTPS. Es wird empfohlen, HTTP anstelle von HTTPS für die CRL-Verteilung zu verwenden. CRL-Prüfungen treten während der zertifikatbasierten Authentifizierung auf, und jede Verzögerung oder ein Fehler beim Abrufen der CRL kann die Authentifizierung blockieren. Die Verwendung von HTTP minimiert die Latenz und vermeidet potenzielle Zirkelabhängigkeiten, die durch HTTPS verursacht werden (was selbst eine Zertifikatüberprüfung erfordert). Um die Zuverlässigkeit sicherzustellen, hosten Sie CRLs auf hoch verfügbaren HTTP-Endpunkten, und stellen Sie sicher, dass sie über das Internet zugänglich sind.

Von Bedeutung

Die maximale Größe einer CRL für Microsoft Entra ID, die bei einer interaktiven Anmeldung erfolgreich heruntergeladen werden kann, beträgt 20 MB in öffentlichen Microsoft Entra ID-Umgebungen und 45 MB in Azure US Government-Clouds. Die zum Herunterladen der CRL erforderliche Zeit darf 10 Sekunden nicht überschreiten. Wenn Microsoft Entra ID keine CRL herunterladen können, schlagen zertifikatbasierte Authentifizierungen mithilfe von Zertifikaten fehl, die von der entsprechenden Zertifizierungsstelle ausgestellt wurden. Als bewährte Methode sollten Sie CRL-Dateien innerhalb von Größenbeschränkungen beibehalten, Zertifikatlebensdauern in angemessenen Grenzwerten beibehalten und abgelaufene Zertifikate bereinigen.

  1. Wenn ein Benutzer eine interaktive Anmeldung mit einem Zertifikat durchführt, lädt Microsoft Entra ID die Zertifikatsperrliste (Certificate Revocation List, CRL) des Kunden herunter und speichert sie zwischen, um zu überprüfen, ob Zertifikate während der Authentifizierung des Benutzers widerrufen werden. Microsoft Entra verwendet das SubjectKeyIdentifier-Attribut anstelle von SubjectName, um die Zertifikatkette zu erstellen. Wenn CRLs aktiviert sind, müssen PKI-Konfigurationen SubjectKeyIdentifier- und Authority Key Identifier-Werte enthalten, um eine ordnungsgemäße Sperrüberprüfung sicherzustellen.

    SubjectKeyIdentifier stellt einen eindeutigen, unveränderlichen Bezeichner für den öffentlichen Schlüssel des Zertifikats bereit, wodurch er zuverlässiger als SubjectName ist, der über Zertifikate hinweg geändert oder dupliziert werden kann. Mit diesem Attribut wird die präzise Kettenbildung und konsistente CRL-Validierung in komplexen PKI-Umgebungen sichergestellt.

    Von Bedeutung

    Wenn ein Authentifizierungsrichtlinienadministrator die Konfiguration der CRL überspringt, führt Microsoft Entra ID während der zertifikatbasierten Authentifizierung des Benutzers keine CRL-Überprüfungen durch. Dieses Verhalten kann bei der anfänglichen Problembehandlung hilfreich sein, sollte jedoch nicht für die Produktionsverwendung berücksichtigt werden.

    • Nur Basis-CRL: Wenn nur die Basis-CRL konfiguriert ist, wird Microsoft Entra ID sie herunterladen und zwischenspeichern, bis der Zeitstempel für das nächste Update erreicht ist. Die Authentifizierung schlägt fehl, wenn die CRL abgelaufen ist und aufgrund von Verbindungsproblemen nicht aktualisiert werden kann oder wenn der CRL-Endpunkt keine aktualisierte Version bereitstellt. Microsoft Entra setzt die CRL-Versionierung strikt durch: Wenn eine neue CRL veröffentlicht wird, muss ihre CRL-Nummer höher sein als die der vorherigen Version.

      Die CRL-Nummer gewährleistet eine monotone Versionierung und verhindert so Replay-Angriffe, bei denen eine ältere CRL erneut eingeführt werden könnte, um die Sperrprüfung zu umgehen. Durch die Anforderung, dass jede neue CRL über eine höhere Versionsnummer verfügt, Microsoft Entra ID garantiert, dass die aktuellsten Widerrufsdaten immer verwendet werden.

    • Base + Delta CRL: Wenn beide konfiguriert sind, müssen beide gültig und barrierefrei sein. Fehlt eines der beiden oder ist abgelaufen, schlägt die Zertifikatsvalidierung gemäß RFC 5280-Standards fehl.

  2. Die zertifikatbasierte Benutzerauthentifizierung schlägt fehl, wenn eine CRL für den vertrauenswürdigen Aussteller konfiguriert ist und Microsoft Entra ID die CRL aufgrund von Verfügbarkeits-, Größen- oder Latenzeinschränkungen nicht herunterladen können. Diese Einschränkung macht den CRL-Endpunkt zu einem kritischen einzelnen Fehlerpunkt, wodurch die Resilienz der zertifikatbasierten Authentifizierung Microsoft Entra ID reduziert wird. Um dieses Risiko zu minimieren, empfehlen wir die Verwendung hochverfügbarer Lösungen, die eine durchgängige Verfügbarkeit für CRL-Endpunkte gewährleisten.

  3. Wenn die CRL den interaktiven Grenzwert für eine Cloud überschreitet, schlägt die anfängliche Anmeldung des Benutzers mit dem folgenden Fehler fehl:

    The Certificate Revocation List (CRL) downloaded from {uri} has exceeded the maximum allowed size ({size} bytes) for CRLs in Microsoft Entra ID. Try again in few minutes. If the issue persists, contact your tenant administrators.

  4. Microsoft Entra ID versucht, die CRL herunterzuladen, die den dienstseitigen Grenzwerten unterliegt (65 MB in öffentlichen Microsoft Entra ID und 150 MB in Azure für US-Behörden).

  5. Benutzer können die Authentifizierung nach ein paar Minuten wiederholen. Wenn das Zertifikat des Benutzers widerrufen und in der CRL angezeigt wird, schlägt die Authentifizierung fehl.

    Von Bedeutung

    Der Token-Widerruf für ein widerrufenes Zertifikat erfolgt aufgrund des CRL-Zwischenspeicherns nicht sofort. Wenn eine CRL bereits zwischengespeichert ist, werden neu widerrufene Zertifikate erst erkannt, wenn der Cache mit einer aktualisierten CRL aktualisiert wird. Delta CRLs enthalten diese Updates in der Regel, sodass die Sperrung wirksam wird, sobald die Delta-CRL geladen wurde. Wenn Delta-CRLs nicht verwendet werden, hängt der Widerruf vom Gültigkeitszeitraum der Basis-CRL ab. Administratoren sollten Token nur dann manuell widerrufen, wenn die sofortige Sperrung wichtig ist, z. B. in Szenarien mit hoher Sicherheit. Weitere Informationen finden Sie unter Konfigurieren der Sperrung.

  6. Aufgrund von Leistungs- und Zuverlässigkeitsgründen wird das Online Certificate Status Protocol (OCSP) nicht unterstützt. Anstatt die CRL bei jeder Verbindung vom Clientbrowser für OCSP herunterzuladen, lädt Microsoft Entra ID sie einmal bei der ersten Anmeldung herunter und speichert sie zwischen. Diese Aktion verbessert die Leistung und Zuverlässigkeit der CRL-Überprüfung. Außerdem wird der Cache indiziert, sodass die Suche jedes Mal viel schneller ist.

  7. Wenn Microsoft Entra die CRL erfolgreich herunterlädt, wird sie zwischengespeichert und für alle nachfolgenden Verwendungen wieder verwendet. Es beachtet das Nächste Aktualisierungsdatum und, falls verfügbar, das Nächste CRL-Veröffentlichungsdatum (verwendet von Windows Server CAs) im CRL-Dokument.

  8. Wenn das Zertifikat des Benutzers in der CRL als widerrufen aufgeführt wird, schlägt die Benutzerauthentifizierung fehl.

    Screenshot des widerrufenen Benutzerzertifikats in der CRL.

    Von Bedeutung

    Aufgrund der Art der CRL-Zwischenspeicherungs- und Veröffentlichungszyklen wird dringend empfohlen, dass Sie bei einem Zertifikatsperrung auch alle Sitzungen des betroffenen Benutzers in Microsoft Entra ID widerrufen.

  9. Microsoft Entra ID versucht, eine neue CRL aus dem Verteilungspunkt vorab abzurufen, wenn das zwischengespeicherte CRL-Dokument abgelaufen ist. Wenn die CRL über ein "Nächstes Veröffentlichungsdatum" verfügt, führt Microsoft Entra einen CRL-Vorababruf durch, auch wenn die CRL im Cache nicht abgelaufen ist. Ab sofort gibt es keine Möglichkeit, den Download der CRL manuell zu erzwingen oder erneut auszutriggern.

    Hinweis

    Microsoft Entra ID überprüft die CRL der ausstellenden Zertifizierungsstelle und anderer Zertifizierungsstellen in der PKI-Vertrauenskette bis zur Stammzertifizierungsstelle. Für die Überprüfung der Zertifikatsperrliste in der PKI-Kette gilt eine Obergrenze von maximal 10 Zertifizierungsstellen ab dem Leaf Client-Zertifikat. Die Einschränkung besteht darin, sicherzustellen, dass ein schlechter Akteur den Dienst nicht herunterlädt, indem eine PKI-Kette mit einer großen Anzahl von CAs mit einer größeren CRL-Größe hochgeladen wird. Wenn die PKI-Kette des Mandanten mehr als 10 Zertifizierungsstellen aufweist und wenn eine Zertifizierungsstelle kompromittiert ist, sollten Authentifizierungsrichtlinienadministratoren den kompromittierten vertrauenswürdigen Aussteller aus der Microsoft Entra Mandantenkonfiguration entfernen. Weitere Informationen finden Sie unter CRL Pre-Fetching.

Konfigurieren des Widerrufs

Um ein Clientzertifikat zu widerrufen, ruft Microsoft Entra ID die Zertifikatsperrliste (Certificate Revocation List, CRL) aus den URLs ab, die als Teil der Zertifizierungsstelleninformationen hochgeladen wurden, und speichert sie zwischen. Der letzte Veröffentlichungszeitstempel (Effective Date-Eigenschaft ) in der CRL wird verwendet, um sicherzustellen, dass die CRL noch gültig ist. Auf die CRL wird in regelmäßigen Abständen verwiesen, um den Zugriff auf Zertifikate zu widerrufen, die Teil der Liste sind.

Sofortiger Widerruf von Sitzungen mit Entra CBA

Es gibt viele Szenarien, in denen ein Administrator alle Sitzungstoken sofort widerrufen muss, damit der gesamte Zugriff für einen Benutzer widerrufen wird. Solche Szenarien umfassen

  • Kompromittierte Konten
  • Kündigung des Mitarbeiters
  • Entra-Ausfall, bei dem zwischengespeicherte Anmeldeinformationen verwendet werden, die keine CRL-Überprüfung enthalten
  • andere Insider-Bedrohungen.

Wenn eine sofortigere Sperrung erforderlich ist (z. B. wenn ein Benutzer ein Gerät verliert), kann das Autorisierungstoken des Benutzers ungültig werden. Um das Autorisierungstoken ungültig zu machen, legen Sie das Feld StsRefreshTokensValidFrom für diesen bestimmten Benutzer mithilfe von Windows PowerShell fest. Sie müssen das StsRefreshTokensValidFrom-Feld für jeden Benutzer aktualisieren, für den Sie den Zugriff widerrufen möchten.

Um sicherzustellen, dass der Widerruf beibehalten wird, müssen Sie das Gültigkeitsdatum der CRL auf ein Datum festlegen, nachdem der von StsRefreshTokensValidFrom festgelegte Wert liegt, und sicherstellen, dass das betreffende Zertifikat in der CRL enthalten ist.

Die folgenden Schritte beschreiben den Prozess zum Aktualisieren und Ungültigieren des Autorisierungstokens durch Festlegen des Felds StsRefreshTokensValidFrom .

# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"

# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"

# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom

Das von Ihnen festgelegte Datum muss in der Zukunft sein. Wenn sich das Datum nicht in der Zukunft befindet, wird die StsRefreshTokensValidFrom-Eigenschaft nicht festgelegt. Wenn sich das Datum in der Zukunft befindet, wird StsRefreshTokensValidFrom auf die aktuelle Uhrzeit festgelegt (nicht auf das durch Set-MsolUser Befehl angegebene Datum).

Erzwingen der CRL-Überprüfung für CAs

Wenn Sie CAs in den Microsoft Entra-Vertrauensspeicher hochladen, müssen Sie keine CRL oder das CrlDistributionPoint-Attribut einschließen. Sie können eine Zertifizierungsstelle ohne einen CRL-Endpunkt hochladen, und die zertifikatbasierte Authentifizierung schlägt nicht fehl, wenn eine ausstellende Zertifizierungsstelle keine CRL angibt.

Um die Sicherheit zu erhöhen und Fehlkonfigurationen zu vermeiden, kann ein Administrator für Authentifizierungsrichtlinien verlangen, dass die CBA-Authentifizierung fehlschlägt, wenn eine Zertifizierungsstelle, die ein Endbenutzerzertifikat ausstellt, keine CRL konfiguriert.

Aktivieren der CRL-Überprüfung

  1. Wählen Sie "CRL-Überprüfung erforderlich" aus (empfohlen), um die CRL-Überprüfung zu aktivieren.

    Screenshot zum Anfordern einer CRL-Überprüfung.

    Wenn Sie diese Einstellung aktivieren, schlägt CBA fehl, wenn das Endbenutzerzertifikat von einer Zertifizierungsstelle stammt, die keine CRL konfiguriert.

  2. Ein Authentifizierungsrichtlinienadministrator kann eine Zertifizierungsstelle ausnehmen, wenn ihre CRL Probleme aufweist, die behoben werden müssen. Wählen Sie "Ausnahme hinzufügen" aus, und wählen Sie alle CAs aus, die ausgenommen werden sollen.

    Ein Screenshot zeigt, wie CAs von der CRL-Validierung ausgenommen werden können.

  3. CAs in der ausgenommenen Liste müssen keine CRL konfigurieren, und die von ihnen ausgestellten Endbenutzerzertifikate schlagen keine Authentifizierung fehl.

    Wählen Sie "CAs" und dann "Hinzufügen" aus. Verwenden Sie das Textfeld "Suchen ", um die Zertifizierungsstellenlisten zu filtern und bestimmte Zertifizierungsstellen auszuwählen.

    Screenshot von CAs, die von der CRL-Überprüfung ausgenommen sind.

Anleitung zum Einrichten von CRLs (Basis- und Delta-CRL) für Microsoft Entra ID

  1. Veröffentlichen barrierefreier CRLs:

    • Stellen Sie sicher, dass Ihre Zertifizierungsstelle sowohl die Basis-CRL als auch die Delta-CRLs (falls zutreffend) für internetorientierte URLs veröffentlicht, auf die über HTTP zugegriffen werden kann.
    • Microsoft Entra ID können keine Zertifikate überprüfen, wenn CRLs auf nur internen Servern gehostet werden. Die URLs sollten hoch verfügbar, leistungsfähig und robust sein, um Authentifizierungsfehler aufgrund von Nichtverfügbarkeit zu verhindern.
    • Überprüfen Sie die CRL-Barrierefreiheit, indem Sie die CRL-URL in einem Browser testen und certutil -url für Verteilungsprüfungen verwenden.

  2. Konfigurieren von CRL-URLs in Microsoft Entra ID:

    • Laden Sie das öffentliche Zertifikat der Zertifizierungsstelle in Microsoft Entra ID hoch und konfigurieren Sie die CRL-Verteilungspunkte (CDPs).
    • Basis-CRL-URL: Enthält alle widerrufenen Zertifikate.
    • Delta-CRL-URL (optional, aber empfohlen): Enthält Zertifikate, die seit der letzten Veröffentlichung der Basis-CRL widerrufen wurden.
    • Verwenden Sie Tools wie certutil, um die Gültigkeit von CRL zu überprüfen und Zertifikat- und CRL-Probleme lokal zu beheben.

  3. Gültigkeitszeiträume festlegen:

    • Legen Sie den Gültigkeitszeitraum der Basis-CRL lang genug fest, um den Betriebsaufwand und die Sicherheit auszugleichen (in der Regel Tage bis Wochen).
    • Legen Sie den Gültigkeitszeitraum der Delta-CRL kürzer fest (in der Regel 24 Stunden), um widerrufene Zertifikate rechtzeitig erkennen zu können.
    • Kürzere Gültigkeitsdauer der Delta-CRL verbessert die Sicherheit, indem das Zeitfenster verkürzt wird, in dem widerrufene Zertifikate gültig bleiben, was jedoch die Ausstellungs- und Verteilungslast erhöht.
    • Die empfohlene 24-Stunden-Standardgültigkeit für Delta-CRLs auf Windows Servern ist eine allgemein akzeptierte Standardsicherheit und -leistung.
    • Microsoft Entra ID wurde entwickelt, um häufige Delta-CRL-Updates ohne Leistungsbeeinträchtigung effizient zu behandeln, und fortlaufende Verbesserungen helfen, dies weiter zu verbessern.
    • Microsoft Entra ID wendet Drosselungsmechanismen an, um vor DDoS-Angriffen während delta-CRL-Downloads zu schützen, was zu temporären Fehlern wie "AADSTS2205013" für eine kleine Teilmenge von Benutzern führen kann.

  4. Hohe Verfügbarkeit und Leistung sicherstellen:

    • Hosten Sie CRLs auf zuverlässigen Webservern oder CdNs (Content Delivery Networks), um Verzögerungen oder Fehler während des Abrufs zu minimieren.
    • Überwachen Sie die Veröffentlichung und Zugänglichkeit der CRL proaktiv.

  5. Schutz vor Drosselungs- und verteilten Denial-of-Service-Angriffen (DDoS):

    • Zum Schutz der Microsoft Entra ID-Dienste und -Benutzer werden CRL-Abrufvorgänge bei hoher Auslastung oder potenziellem Missbrauch gedrosselt.
    • Planen Sie die Veröffentlichung und den Ablauf von CRLs außerhalb der Hauptgeschäftszeiten, um die Wahrscheinlichkeit zu minimieren, dass sich die Drosselung auf die Benutzer auswirkt.

  6. CRL-Größenverwaltung

    • Halten Sie CRL-Nutzlasten so klein wie möglich, idealerweise durch häufige Delta-CRL-Veröffentlichung und Archivierung alter Einträge, um die Abrufgeschwindigkeit zu verbessern und die Bandbreite zu reduzieren.

  7. Aktivieren der CRL-Überprüfung

    • Erzwingen sie die CRL-Überprüfung in Microsoft Entra ID Richtlinien, um sicherzustellen, dass widerrufene Zertifikate erkannt werden. Weitere Informationen finden Sie unter Aktivieren der CRL-Überprüfung.
    • Erwägen Sie die temporäre Umgehung der CRL-Überprüfung nur als letztes Mittel bei der Problembehandlung mit einem Verständnis der Sicherheitsrisiken.

  8. Testen und Überwachen

    • Führen Sie regelmäßige Tests durch, um zu überprüfen, ob CRLs von Microsoft Entra ID heruntergeladen und ordnungsgemäß erkannt werden.
    • Verwenden Sie die Überwachung, um CRL-Verfügbarkeits- oder Validierungsprobleme zu erkennen und schnell zu beheben.

CRL-Fehlerreferenz

Fehlercode und Meldung Description Häufige Ursachen Recommendations
AADSTS500171: Zertifikat wurde widerrufen. Wenden Sie sich an Ihren Administrator. Das Zertifikat befindet sich in der CRL und gibt an, dass es widerrufen wird. Das Zertifikat wird vom Administrator widerrufen. Wenn ein Zertifikat versehentlich in der CRL enthalten ist, müssen Sie die ausstellende Zertifizierungsstelle bitten, die CRL mit einer aktualisierten Liste neu auszustellen, die die beabsichtigten Widerrufe korrekt widerspiegelt.
AADSTS500172: Das von '{issuer}' ausgestellte Zertifikat '{name}' ist ungültig. Aktuelle Uhrzeit: '{curTime}'. NotBefore-Uhrzeit des Zertifikats: „{startTime}“. NotAfter-Uhrzeit des Zertifikats: „{endTime}“. CRL ist zeitlich nicht gültig. Die CRLs oder Delta-CRLs, die zum Überprüfen des Zertifikats verwendet werden, weisen Zeitprobleme auf, z. B. abgelaufene CRLs oder falsch konfigurierte Veröffentlichungs-/Gültigkeitszeiten. - Vergewissern Sie sich, dass die Datumsangaben "NotBefore" und "NotAfter" das aktuelle Datum korrekt umfassen.
– Überprüfen Sie, ob die von Ihrer Zertifizierungsstelle veröffentlichten Basis- und Delta-CRLs nicht abgelaufen sind.
AADSTS500173: >Eine Zertifikatsperrliste (Certificate Revocation List, CRL) kann nicht heruntergeladen werden. Ungültiger Statuscode {code} vom CRL-Verteilungspunkt. Wenden Sie sich an Ihren Administrator. CRL konnte aufgrund von Endpunktproblemen nicht heruntergeladen werden. - CRL-Endpunkt gibt HTTP-Fehler zurück (z. B. 403)
– CRL ist ohne Update abgelaufen		 - Bestätigen, dass der CRL-Endpunkt gültige Daten zurückgibt
– Stellen Sie sicher, dass die Zertifizierungsstelle regelmäßig aktualisierte CRLs veröffentlicht
– Auf die CRL-URL kann aufgrund von Netzwerkproblemen, Firewallblöcken oder Serverausfallzeiten nicht zugegriffen werden.
– Aktivieren Sie CRL fail-safe, um unverifizierbare Zertifikate zu blockieren.
AADSTS500174: Gültige Zertifikatsperrliste (Certificate Revocation List, CRL) kann nicht anhand der Antwort erstellt werden. Microsoft Entra ID kann die aus dem angegebenen Verteilungspunkt abgerufene CRL nicht analysieren oder verwenden. – Auf die CRL-URL kann aufgrund von Netzwerkproblemen, Firewallblöcken oder Serverausfallzeiten nicht zugegriffen werden.
– Die heruntergeladene CRL-Datei ist beschädigt, unvollständig oder falsch formatiert.
– Die URLs in den CDP-Feldern des Zertifikats verweisen nicht auf gültige CRL-Dateien oder sind falsch konfiguriert.		 – Überprüfen der CRL-Zugänglichkeit, Gültigkeit und Integrität.
– Überprüfen Sie die CRL-Datei auf Beschädigungen oder unvollständige Inhalte.
AADSTS500175: Fehler bei der Sperrüberprüfung, da die Zertifikatsperrliste (Certificate Revocation List, CRL) für ein Zertifikat in der Kette fehlt. Während der Zertifikatsperrüberprüfung konnte Microsoft Entra kein erforderliches Segment oder Teil der Zertifikatsperrliste (Certificate Revocation List, CRL) finden. - Die aus dem CRL Distribution Point (CDP) heruntergeladene CRL-Datei ist beschädigt oder abgeschnitten.
- Falsche oder unvollständige Veröffentlichung der CRL durch die Zertifizierungsstelle.
– Netzwerkprobleme, die unvollständige oder fehlgeschlagene CRL-Downloads verursachen.
- Fehlkonfiguration der URLs oder Dateisegmente des CRL-Verteilungspunkts.		 – Überprüfen der CRL-Integrität
- Veröffentlichung oder Neugenerierung der CRL
– Überprüfen der Netzwerk- und Proxyeinstellungen
- Sicherstellen der korrekten CDP-Konfiguration für alle CAs
AADSTS500176: Die Zertifizierungsstelle, die Ihr Zertifikat ausgestellt hat, wurde im Tenant nicht eingerichtet. Wenden Sie sich an Ihren Administrator. Microsoft Entra konnte das Zertifikat der ausstellenden Zertifizierungsstelle nicht in seinem vertrauenswürdigen Zertifikatsspeicher finden. Dadurch wird eine erfolgreiche Überprüfung der Vertrauenskette des Benutzerzertifikats verhindert. – Das ausstellende Zertifizierungsstellenzertifikat (Stamm- oder Zwischenzertifikat) wird in der Liste der Microsoft Entra ID vertrauenswürdigen Zertifikate nicht hochgeladen oder konfiguriert.
– Die auf dem Client oder Gerät gespeicherte Zertifikatkette ist nicht ordnungsgemäß mit einem vertrauenswürdigen Zertifizierungsstellenzertifikat verknüpft.
- Nicht übereinstimmende oder fehlende Verweise auf den Subject Key Identifier (SKI) und den Authority Key Identifier (AKI) in der Zertifikatkette.
– Das ausstellende Zertifikat ist möglicherweise abgelaufen, widerrufen oder anderweitig ungültig.		 - Der Tenant-Administrator sollte alle relevanten Stamm- und Zwischenzertifikate über das Microsoft Entra Admin Center in den vertrauenswürdigen Zertifikatsspeicher von Microsoft Entra hochladen.
- Stellen Sie sicher, dass der SKI des ZS-Zertifikats mit dem AKI im Zertifikat des Benutzers übereinstimmt, um eine korrekte Verknüpfung der Zertifikatskette zu gewährleisten.
- Verwenden Sie Tools wie certutil oder OpenSSL, um zu überprüfen, ob die vollständige Zertifikatkette intakt, nicht unterbrochen und vertrauenswürdig ist.
- Ersetzen Sie alle abgelaufenen oder widerrufenen ZS-Zertifikate im vertrauenswürdigen Speicher, um die Gültigkeit der Zertifikatskette aufrechtzuerhalten.
AADSTS500177: Zertifikatsperrliste (Certificate Revocation List, CRL) ist falsch konfiguriert. Der Delta-CRL-Verteilungspunkt ist ohne einen entsprechenden Basis-CRL-Verteilungspunkt konfiguriert. Wenden Sie sich an Ihren Administrator. Gibt an, dass Ihre Zertifizierungsstelle einen Delta-CRL-Verteilungspunkt enthält, aber der entsprechende Basis-CRL-Verteilungspunkt fehlt oder nicht ordnungsgemäß konfiguriert ist. – Die in den Zertifikaten oder Zertifizierungsstelleneinstellungen konfigurierten CRL-Verteilungspunkte (CRL Distribution Points, CDPs) sind ungültige, unzugängliche oder falsche URLs.
– Die Zertifizierungsstelle hat die CRL nicht ordnungsgemäß veröffentlicht, oder die CRL ist abgelaufen, was zu Überprüfungsfehlern führt.
– Geräte oder Microsoft Entra ID-Dienste können aufgrund von Firewallregeln, Proxyeinschränkungen oder Netzwerkkonnektivitätsproblemen nicht auf die CRL-URLs zugreifen.
- Falsch konfigurierte Einstellungen entweder in Microsoft Entra oder der ausstellenden Zertifizierungsstelle im Zusammenhang mit der CRL-Verarbeitung.		 – Bestätigen und Aktualisieren von CRL-Verteilungspunkten auf genaue, öffentlich zugängliche URLs.
– Stellen Sie sicher, dass CRLs vor Ablauf regelmäßig veröffentlicht und erneuert werden. Automatisieren Sie die CRL-Publikation nach Möglichkeit.
– Erlauben Sie den erforderlichen Netzwerkdatenverkehr zu CRL-Verteilungspunkten, indem Sie Firewall-, Proxy- oder Sicherheitsgeräteregeln aktualisieren.
– Überprüfen Sie die heruntergeladenen CRLs auf Beschädigung oder Abkürzung, und veröffentlichen Sie sie bei Bedarf erneut.
- Überprüfen Sie die Konfigurationen von Microsoft Entra ID und der Zertifizierungsstelle in Bezug auf die Veröffentlichung von CRLs, URLs und Validierungsrichtlinien.
AADSTS500178: Gültige CRL-Segmente für {type} können nicht abgerufen werden. Versuchen Sie es später erneut. Microsoft Entra ID kann während der Zertifikatüberprüfung nicht alle erforderlichen Segmente der Zertifikatsperrliste (CRL, Certificate Revocation List) herunterladen oder verarbeiten. – Die CRL wird in mehreren Segmenten veröffentlicht, und ein oder mehrere Segmente fehlen, beschädigt oder unzugänglich.
– Netzwerkeinschränkungen oder Firewalls blockieren den Zugriff auf ein oder mehrere CRL-Segmente.
– Die verfügbaren CRL-Segmente sind möglicherweise abgelaufen oder werden nicht ordnungsgemäß aktualisiert.
– Falsche URLs oder fehlende Einträge in den CRL-Verteilungspunkten des Zertifikats, in denen Segmente gehostet werden.		 - Alle CRL-Segmente manuell von ihren Verteilungspunkten herunterladen und auf Vollständigkeit und Gültigkeit prüfen.
– Stellen Sie sicher, dass alle CRL-Segment-URLs ordnungsgemäß konfiguriert und barrierefrei sind. Aktualisieren Sie Zertifikate oder Zertifizierungsstellenkonfigurationen, wenn sich CDP-URLs geändert haben.
- Vergewissern Sie sich, dass die Zertifizierungsstelle alle CRL-Segmente ordnungsgemäß veröffentlicht und verwaltet, ohne dass diese beschädigt sind oder Teile fehlen.
AADSTS500179: Timeout der CRL-Überprüfung. Versuchen Sie es später erneut. Zeitüberschreitung oder Unterbrechung des CRL-Downloads. - CRL-Größe überschreitet Grenzwerte
- Netzwerklatenz oder Instabilität		 - Halten Sie die CRL-Größe unter 20 MB (kommerzielle Azure) oder 45 MB (Azure für US-Regierung)
- Festlegen des Next Update Intervalls auf mindestens eine Woche
– Überwachen der CRL-Downloadleistung über Anmeldeprotokolle.
AADSTS500183: Zertifikat wurde widerrufen. Wenden Sie sich an Ihren Administrator. Fehler bei einem Authentifizierungsversuch, da das Clientgerät ein Zertifikat angezeigt hat, das von der ausstellenden Zertifizierungsstelle widerrufen wurde. Das für die Authentifizierung verwendete Zertifikat befindet sich in der Zertifikatsperrliste (Certificate Revocation List, CRL) oder wird als widerrufen von der Zertifizierungsstelle gekennzeichnet. - Der Tenant-Administrator sollte sicherstellen, dass das neue Zertifikat korrekt bereitgestellt und von Microsoft Entra ID als vertrauenswürdig eingestuft wird.
– Überprüfen Sie, ob die von Ihrer Zertifizierungsstelle veröffentlichten CRLs und Delta-CRLs auf dem neuesten Stand und für die Geräte zugänglich sind.
AADSTS2205011: Die heruntergeladene Zertifikatsperrliste (Certificate Revocation List, CRL) weist kein gültiges ASN.1-Codierungsformat auf. Wenden Sie sich an Ihren Administrator. Die von Microsoft Entra abgerufene CRL-Datei ist nicht ordnungsgemäß im "Abstract Syntax Notation One (ASN.1) Distinguished Encoding Rules (DER)"-Standard codiert, der zum Analysieren und Validieren der CRL-Daten erforderlich ist. – Die CRL-Datei ist während der Veröffentlichung oder Übertragung beschädigt oder abgeschnitten.
- Die CRL wurde von der Zertifizierungsstelle falsch generiert oder codiert und entspricht nicht den ASN.1 DER-Standards.
- Dateiformatkonvertierungen (z. B. falsche Base64/PEM-Codierung) beschädigten die CRL-Daten.		 - Laden Sie die CRL manuell herunter, und prüfen Sie sie mit Tools wie openssl oder spezialisierten ASN.1-Parsern, um zu bestätigen, ob sie beschädigt oder fehlerhaft ist.
- Erstellen Sie die CRL von der Zertifizierungsstelle neu und veröffentlichen Sie sie erneut, wobei Sie die Einhaltung der ASN.1-DER-Kodierungsstandards sicherstellen.
– Stellen Sie sicher, dass die Zertifizierungsstellen-Software oder -Tools, die CRLs erzeugen, RFC 5280 erfüllen und CRLs im ASN.1 DER-Format ordnungsgemäß codieren.
AADSTS2205012: Der Versuch, die Zertifikatswiderrufsliste (CRL) von '{uri}' während der interaktiven Anmeldung herunterzuladen, hat eine Zeitüberschreitung verursacht. Wir versuchen, den Download zu wiederholen. Versuchen Sie es in einigen Minuten erneut. Microsoft Entra ID konnte die CRL-Datei nicht innerhalb der erwarteten Zeit von der angegebenen URL abrufen. - Microsoft Entra ID-Dienste können den CRL-Verteilungspunkt aufgrund von Netzwerkausfällen, Firewalleinschränkungen oder DNS-Fehlern nicht erreichen.
– Der Server, auf dem die CRL gehostet wird, ist veraltet, überlastet oder reagiert nicht rechtzeitig.
- Große CRLs benötigen eine längere Zeit zum Herunterladen, was zu Timeouts führen kann.
 – Verwenden Sie Delta-CRLs, um CRL-Dateigrößen zu verkleinern und häufiger zu aktualisieren, um die Downloadzeit zu reduzieren.
– Veröffentlichen oder aktualisieren Sie CRLs außerhalb der Spitzenzeiten, um die Serverlast zu reduzieren und die Reaktionszeiten zu verbessern.
– Überwachen und Verwalten von hoher Verfügbarkeit und Leistung der CRL-Hostingserver.
AADSTS2205013: Der Download der Zertifikatsperrliste (Certificate Revocation List, CRL) wird derzeit ausgeführt. Versuchen Sie es in einigen Minuten erneut. Tritt auf, wenn mehrere Authentifizierungsversuche gleichzeitig CRL-Downloads auslösen und das System weiterhin den aktuellen CRL-Abruf verarbeitet. – Wenn eine CRL abläuft oder bald abläuft, können mehrere Benutzer, die sich gleichzeitig anmelden, gleichzeitig versuchen, die neue CRL herunterzuladen.
- Microsoft Entra ID wendet einen Sperrmechanismus an, um gleichzeitige Downloads derselben CRL zu verhindern, um Lade- und potenzielle Rennbedingungen zu reduzieren. Dies führt dazu, dass einige Authentifizierungsanforderungen mit dieser Wiederholungsmeldung vorübergehend verweigert werden.
- Große Benutzergruppen oder starke Anmeldespitzen können die Häufigkeit dieses Fehlers erhöhen.		 – Warten Sie einige Minuten, bis der laufende CRL-Download abgeschlossen ist, bevor Sie die Anmeldung erneut versuchen.
– Stellen Sie sicher, dass CRLs regelmäßig veröffentlicht und aktualisiert werden, bevor sie ablaufen, um erzwungene erneute Downloads zu reduzieren.
AADSTS2205014:Der Versuch, die Zertifikatsperrliste (Certificate Revocation List, CRL) von '{uri}' während der interaktiven Anmeldung herunterzuladen, hat die maximale zulässige Größe ({size} Bytes) überschritten. Die CRL wird mit dem Downloadlimit des CRL-Diensts bereitgestellt, versuchen Sie es bitte in ein paar Minuten erneut. Die CRL-Datei Microsoft Entra ID versucht hat, herunterzuladen, ist größer als die vom Dienst festgelegte Größenbeschränkung. Microsoft Entra versucht, im Hintergrund mit höheren Grenzwerten herunterzuladen. - Die von der Zertifizierungsstelle veröffentlichte CRL-Datei ist zu groß, häufig aufgrund einer hohen Anzahl von widerrufenen Zertifikaten.
- Große CRLs können entstehen, wenn widerrufene Zertifikate nicht bereinigt werden oder wenn die Zertifizierungsstelle lange Ablauffristen für Widerrufsdaten festlegt.
– Große CRL-Größen erhöhen die Downloadzeiten und den Ressourcenverbrauch während der zertifikatbasierten Authentifizierung.		 – Entfernen Veralteter oder abgelaufener widerrufener Zertifikate aus der Zertifizierungsstelle-Datenbank.
- Kürzen Sie die Gültigkeitszeiträume der CRL und erhöhen Sie die Veröffentlichungshäufigkeit, um die CRL-Größen überschaubar zu halten.
– Implementieren Sie Delta-CRLs, um nur inkrementelle Sperrinformationen zu verteilen und die Bandbreite zu reduzieren.
AADSTS2205015: Fehler bei der Signaturüberprüfung der Zertifikatsperrliste (Certificate Revocation List, CRL). Der erwartete SubjectKeyIdentifier {expectedSKI}-Wert stimmt nicht mit dem AuthorityKeyIdentifier {crlAK} der CRL überein. Wenden Sie sich an Ihren Administrator. Die kryptografische Signatur auf der CRL konnte nicht überprüft werden, da die CRL von einem Zertifikat signiert wurde, dessen Antragstellerschlüsselbezeichner (Subject Key Identifier, SKI) nicht mit dem von Microsoft Entra ID erwarteten Autoritätsschlüsselbezeichner (Authority Key Identifier, AKI) übereinstimmt. - Das ZS-Zertifikat, das zum Signieren der CRL verwendet wurde, hat sich geändert, aber die neue SKI wurde in der Liste der vertrauenswürdigen Zertifikate nicht aktualisiert oder synchronisiert.
- Die CRL ist veraltet oder nicht übereinstimmend aufgrund einer Fehlkonfiguration in der PKI-Hierarchie.
- Falsche oder fehlende Zwischenzertifikate der Zertifizierungsstelle in der Liste der vertrauenswürdigen Zertifikate.
– Das CRL-Signaturzertifikat verfügt möglicherweise nicht über die entsprechende Schlüsselverwendung für das Signieren von CRLs.		 - Prüfen Sie, ob die Schlüsselkennung des Antragstellers (SKI) des ZS-Zertifikats, das die CRL signiert, mit dem Authority Key Identifier (AKI) in der CRL übereinstimmt.
Bestätigen Sie, dass das Zertifikat der signierenden Zertifizierungsstelle in Microsoft Entra ID hochgeladen und vertrauenswürdig ist.
– Überprüfen Sie, ob das zum Signieren der CRL verwendete CA-Zertifikat die entsprechenden Schlüsselverwendungsflags aktiviert hat (z. B. CRL-Signatur), und verifizieren Sie, ob die Zertifikatkette intakt und nicht unterbrochen ist.
– Laden oder aktualisieren Sie die korrekten Stamm- und Zwischenzertifikate in der Liste der vertrauenswürdigen Zertifizierungsstellen von Microsoft Entra ID, und stellen Sie sicher, dass das Zertifikat, das zur Signierung der Zertifikatsperrliste (ZRL) verwendet wird, enthalten und ordnungsgemäß konfiguriert ist.
AADSTS7000214: Zertifikat wurde widerrufen. Das Zertifikat wurde widerrufen. - Zertifikat, das in der CRL aufgeführt ist – Widerrufenes Zertifikat ersetzen
- Ermitteln Sie den Grund für den Widerruf bei der Zertifizierungsstelle
– Überwachen des Zertifikatlebenszyklus und der Verlängerung

Häufig gestellte Fragen

In diesen nächsten Abschnitten werden häufig gestellte Fragen und Antworten im Zusammenhang mit Zertifikatsperrlisten behandelt.

Gibt es eine Beschränkung für die CRL-Größe?

Die folgenden CRL-Größenbeschränkungen gelten:

  • Download-Limit für die interaktive Anmeldung: 20 MB (Azure Global einschließlich GCC), 45 MB für (Azure US Government, einschließlich GCC High, Dept. of Defense)
  • Downloadgrenzwert für Dienste: 65 MB (Azure Global mit Government Community Cloud, GCC), 150 MB (Azure US Government mit GCC High, Dept. of Defense)

Wenn ein CRL-Download fehlschlägt, wird die folgende Meldung angezeigt:

"Die von {uri} heruntergeladene Zertifikatsperrliste (Certificate Revocation List, CRL) hat die maximale zulässige Größe ({size} Bytes) für CRLs in Microsoft Entra ID überschritten. Versuchen Sie es in wenigen Minuten erneut. Wenn das Problem weiterhin besteht, wenden Sie sich an Ihre Mandantenadministratoren."

Der Download verbleibt im Hintergrund mit höheren Grenzwerten.

Wir überprüfen die Auswirkungen dieser Grenzwerte und haben Pläne, sie zu entfernen.

Warum wird zwar ein gültiger Zertifikatsperrlisten-Endpunkt (CRL) aber keine Sperrliste angezeigt?

  • Stellen Sie sicher, dass der CRL-Verteilungspunkt auf eine gültige HTTP-URL festgelegt ist.
  • Stellen Sie sicher, dass auf den CRL-Verteilungspunkt über eine internetorientierte URL zugegriffen werden kann.
  • Stellen Sie sicher, dass die CRL-Größen die vorgegebenen Grenzen nicht überschreiten.

Wie kann ich ein Zertifikat sofort widerrufen?

Führen Sie die Schritte aus, um ein Zertifikat manuell zu widerrufen.

Wie kann ich die Zertifikatsperrüberprüfung für eine bestimmte Zertifizierungsstelle aktivieren oder deaktivieren?

Es wird empfohlen, die Überprüfung der Zertifikatsperrliste (Certificate Revocation List, CRL) zu deaktivieren, da Sie keine Zertifikate widerrufen können. Wenn Sie jedoch Probleme mit der CRL-Überprüfung untersuchen müssen, können Sie eine Zertifizierungsstelle von der CRL-Prüfung im Microsoft Entra Admin Center ausschließen. Wählen Sie in der Richtlinie für CBA-Authentifizierungsmethoden "Konfigurieren" und dann " Ausnahme hinzufügen" aus. Wählen Sie die Zertifizierungsstelle aus, die Sie ausnehmen möchten, und Hinzufügen auswählen.

Nachdem ein CRL-Endpunkt konfiguriert wurde, können sich Endbenutzer nicht anmelden und sehen "AADSTS500173: CRL kann nicht heruntergeladen werden. Ungültiger Statuscode Verboten vom CRL-Verteilungspunkt."

Wenn ein Problem verhindert, dass Microsoft Entra die CRL herunterlädt, ist die Ursache häufig Firewall-Beschränkungen. In den meisten Fällen können Sie das Problem beheben, indem Sie Firewallregeln aktualisieren, um die erforderlichen IP-Adressen zuzulassen, damit Microsoft Entra die CRL erfolgreich herunterladen können. Weitere Informationen finden Sie unter Download Azure IP Ranges and Service Tags – Public Cloud from Official Microsoft Download Center.

Wie finde ich die CRL für eine Zertifizierungsstelle, oder wie behebt ich den Fehler "AADSTS2205015: Fehler bei der Zertifikatsperrliste (Certificate Revocation List, CRL)-Signaturüberprüfung"?

Laden Sie die CRL herunter, und vergleichen Sie das Zertifizierungsstellenzertifikat und die CRL-Informationen, um zu überprüfen, ob der crlDistributionPoint Wert für die Zertifizierungsstelle gültig ist, die Sie hinzufügen möchten. Sie können das CRL für die entsprechende CA konfigurieren, indem Sie den Ausstellersubjektschlüssel-Identifikator (SKI) der CA mit dem Autoritätsschlüsselbezeichner (AKI) des CRL abgleichen (CA Issuer SKI == CRL AKI).

In der folgenden Tabelle und Abbildung wird gezeigt, wie Informationen aus dem Zertifizierungsstellenzertifikat den Attributen der heruntergeladenen CRL zugeordnet werden.

Informationen zu CA-Zertifikaten = Heruntergeladene CRL-Informationen
Betreff = Emittent
Subjekt-Schlüssel-Identifikator (SKI) = Autorisierungsschlüssel-Identifikator (KeyID)

Screenshot, der die CA-Zertifikatfelder mit den CRL-Informationen vergleicht.

Nächste Schritte

  • Last updated on