Принципы обслуживания и проверка CRL

Question

Проверяет ли Сервисный Принципал (SP) CRL для сертификата, который используется для аутентификации SP?

У меня есть клиент, который обеспокоен использованием SP с сертификатами для аутентификации и хочет понять, что произойдет, если сертификат, используемый для аутентификации, будет отозван.

Answer 1

Руководитель службы проверяет «Список отзыва сертификатов» (CRL). Чтобы отозвать сертификат клиента, Azure Active Directory извлекает список отзыва сертификатов (CRL) из URL-адресов, загруженных как часть информации центра сертификации, и кэширует его. Последняя отметка времени публикации в CRL используется для гарантии того, что CRL все еще действителен. На CRL периодически ссылаются, чтобы отозвать доступ к сертификатам, которые являются частью списка.

Чтобы настроить сертификат в субъекте службы, вы можете создать сертификат локально, перейти к манифесту субъекта службы и обновить часть KeyCredential, как показано ниже:

Ниже ссылка на документацию для настройки отзыва:

https://docs.microsoft.com/en-us/azure/active-directory/authentication/active-directory-certificate-based-authentication-get-started#step-3-configure-revocation

Надеюсь, это поможет.