Příznaky
Pokud používáte server ISA (Microsoft Internet Security and Acceleration) 2004 k publikování serveru WWW s protokolem SSL (Secure Sockets Layer) webového serveru, mohou klienti obdržet následující chybovou zprávu:
Kód chyby: 500 Vnitřní chyba serveru. Certifikát je odvolán. (-2146885616)
Příčina
K tomuto problému dochází při splnění následujících podmínek:
-
Kontroly seznamu odvolaných certifikátů (CRL) jsou povoleny na serveru ISA Server 2004. Další informace o povolení kontrol seznamů CRL na serveru ISA Server 2004 naleznete dále v tomto článku v části Další informace.
-
Ověřování klientských certifikátů SSL je povoleno v pravidle pro publikování na webu. Další informace o povolení ověřování klientských certifikátů SSL na serveru ISA Server 2004 naleznete dále v tomto článku v části Další informace.
-
Kořenový certifikát, ze kterého je odvozen certifikát serveru SSL na webovém serveru ISA Server 2004 web Listeners, nemá žádné distribuční body seznamu CRL. Další informace o tom, jak ověřit, zda kořenový certifikát neobsahuje žádné distribuční body seznamu CRL, naleznete v části Další informace v tomto článku.
Řešení
Informace o aktualizaci Service Pack
Tento problém vyřešíte získáním a instalací nejnovější aktualizace Service Pack pro službu Internet Security a Akcelerationserver 2004. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
891024 jak získat nejnovější aktualizaci Service Pack pro ISA Server 2004
Alternativní řešení
Tento problém vyřešíte ručním stažením seznamu odvolaných certifikátů a jeho následným nainstalováním do úložiště certifikátů v místním počítači. Poznámka: Vzhledem k tomu, že seznam CRL je platný pouze po omezenou dobu, je třeba pravidelně načítat nový seznam CRL. Chcete-li nainstalovat seznam CRL do úložiště certifikátů místního počítače, postupujte následujícím způsobem:
-
Přihlaste se k počítači jako člen místní skupiny správců.
-
Otevřete modul snap-in Certifikáty pro účet počítače. Postupujte podle následujících kroků:
-
Klepněte na tlačítko Start, na příkaz Spustit, zadejte příkaz MMCa klepněte na tlačítko OK.
-
V nabídce soubor klepněte na příkaz Přidat nebo odebrat modul snap-in. Zobrazí se dialogové okno Přidat nebo odebrat modul snap-in .
-
Na kartě samostatná klepněte na tlačítko Přidat. Zobrazí se dialogové okno Přidat samostatný modul snap-in .
-
V seznamu Dostupné samostatné moduly snap-in klepněte na položku certifikátya potom na tlačítko Přidat.
-
Klepněte na položku účet počítačea potom na tlačítko Další.
-
Klepněte na položku místní počítača potom na tlačítko Dokončit.
-
Klepněte na tlačítko Zavříta pak klepněte na tlačítko OK.
-
-
Rozbalte certifikáty, klikněte pravým tlačítkem myši na položku zprostředkující certifikační úřady, klikněte na příkaz všechny úkolya pak klikněte na tlačítko importovat.
-
Dokončete instalaci podle pokynů průvodce.
Další informace
Ověření, zda kořenový certifikát neobsahuje žádné distribuční body seznamu CRL
-
Klepněte na tlačítko Start, na příkaz Spustit, zadejte příkaz MMCa klepněte na tlačítko OK.
-
V nabídce soubor klepněte na příkaz Přidat nebo odebrat modul snap-in.
-
Klepněte na tlačítko Přidat, klepněte na položku certifikáty, klepněte na tlačítko Přidat, klepněte na položku účet počítače, klepněte na tlačítko Další, na tlačítko Dokončit, klepněte na tlačítkoZavřít
-
Rozbalte certifikáty, klikněte na položku Důvěryhodné kořenové certifikační autoritya pak klikněte na tlačítko certifikáty.
-
Poklepejte na kořenový certifikát řetězu certifikátů, ze kterého pochází certifikát serveru ISA Server 2004 SSL.
-
Na kartě Podrobnosti ověřte, zda pole distribučního místa seznamu CRL není k dispozici.
Konfigurace kontrol seznamu CRL na serveru ISA Server 2004
-
Chcete-li spustit správu serveru ISA Server, klepněte na tlačítko Start, přejděte na příkaz všechny programy, přejděte na položku Microsoft ISA Servera pak klepněte na možnost Správa serveru ISA Server.
-
Rozbalte svůj server ISA, rozbalte položku Konfiguracea pak klepněte na položku Obecné.
-
V prostředním podokně klepněte na položku zadat odvolání certifikátu.
-
Klepnutím zaškrtněte políčko ověřit, zda příchozí klientské certifikáty nejsou odvolány , a klepněte na tlačítko OK.
Povolení ověřování klientských certifikátů na serveru ISA Server 2004
-
Chcete-li spustit správu serveru ISA Server, klepněte na tlačítko Start, přejděte na příkaz všechny programy, přejděte na položku Microsoft ISA Servera pak klepněte na možnost Správa serveru ISA Server.
-
Rozbalte server ISA a pak klepněte na tlačítko zásady brány firewall.
-
V prostředním podokně klepněte pravým tlačítkem myši na pravidlo, které chcete konfigurovat, a potom klepněte na příkaz vlastnosti.
-
Na kartě naslouchání klepněte na tlačítko vlastnosti.
-
Na kartě Předvolby zaškrtněte políčko Povolit protokol SSL .
-
Klepněte dvakrát na tlačítko OK .
Stav
Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti, které jsou uvedeny v části Informace v tomto článku jsou určeny pro produkt.