Clients erhalten eine Fehlermeldung "500 Server", wenn ein Webserver eine Zertifikatsperrliste in ISA Server 2004 benötigt


Problembeschreibung


Wenn Sie Microsoft Internet Security and Acceleration (ISA) Server 2004 verwenden, um eine SSL-Website (Secure Sockets Layer) eines Webservers zu veröffentlichen, wird auf Clients möglicherweise die folgende Fehlermeldung angezeigt:
Fehlercode: 500 Interner Serverfehler. Das Zertifikat wird gesperrt. (-2146885616)

Ursache


Dieses Problem tritt auf, wenn die folgenden Bedingungen zutreffen:
  • Zertifikatsperrliste (CRL)-Prüfungen sind in ISA Server 2004 aktiviert. Weitere Informationen zum Aktivieren von CRL-Prüfungen in ISA Server 2004 finden Sie im Abschnitt "Weitere Informationen" weiter unten in diesem Artikel.
  • Die SSL-Clientzertifikatauthentifizierung ist in der Webveröffentlichungsregel aktiviert. Weitere Informationen zum Aktivieren der SSL-Clientzertifikatauthentifizierung in ISA Server 2004 finden Sie im Abschnitt "Weitere Informationen" weiter unten in diesem Artikel.
  • Das Stammzertifikat, von dem das SSL-Serverzertifikat auf den ISA Server 2004-Weblistenkernen abgeleitet ist, hat keine CRL-Verteilungspunkte. Weitere Informationen dazu, wie Sie überprüfen können, ob das Stammzertifikat keine SPERRliste-Verteilungspunkte enthält, finden Sie weiter unten in diesem Artikel im Abschnitt "Weitere Informationen".

Fehlerbehebung


Service Pack-Informationen

Um dieses Problem zu beheben, rufen Sie das neueste Service Pack für Internet Security und AccelerationServer 2004 ab und installieren Sie es. Weitere Informationen erhalten Sie, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
891024 So erhalten Sie das neueste ISA Server 2004-ServicePack

Problemumgehung


Um dieses Problem zu umgehen, laden Sie die Zertifikatsperrstelle manuell herunter, und installieren Sie sie dann im lokalen Computerzertifikatspeicher. Hinweis Da die CRL nur für eine begrenzte Zeit gültig ist, müssen Sie regelmäßig eine neue CRL abrufen. Gehen Sie folgendzu, um eine Zertifikatsperrstelle im Zertifikatspeicher für den lokalen Computer zu installieren:
  1. Melden Sie sich als Mitglied der lokalen Administratorengruppe am Computer an.
  2. Öffnen Sie das Zertifikats-Snap-In für das Computerkonto. Führen Sie hierzu die folgenden Schritte aus:
    1. Klicken Sie auf Start und auf Ausführen, geben Sie mmc ein, und klicken Sie auf OK.
    2. Klicken Sie im Menü Datei auf Snap-in hinzufügen/entfernen. Das Dialogfeld Snap-In hinzufügen/entfernen wird angezeigt.
    3. Klicken Sie auf der Registerkarte Standalone auf Hinzufügen. Das Dialogfeld Eigenständiges Snap-In hinzufügen wird angezeigt.
    4. Klicken Sie in der Liste Verfügbare eigenständige Snap-Ins auf Zertifikate, und klicken Sie dann auf Hinzufügen.
    5. Klicken Sie auf Computerkonto, und klicken Sie dann auf Weiter.
    6. Klicken Sie auf Lokaler Computer, und klicken Sie dann auf Fertig stellen.
    7. Klicken Sie auf Schließen und anschließend auf OK.
  3. Zertifikate erweitern , klicken Sie mit der rechten Maustaste auf Zwischenzertifizierungsstellen, klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren.
  4. Befolgen Sie die Anweisungen im Assistenten, um die Installation abzuschließen.

Weitere Informationen


So überprüfen Sie, ob das Stammzertifikat über keine CRL-Verteilungspunkte verfügt

  1. Klicken Sie auf Start und auf Ausführen, geben Sie mmc ein, und klicken Sie auf OK.
  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie auf Hinzufügen, klicken Sieauf Zertifikate, klicken Sie auf Hinzufügen , klicken Sie auf Computerkonto, klicken Sie auf Weiter, klicken Sieauf Schließen, und klicken Sie dann auf OK.
  4. Erweitern sie Zertifikate, klicken Sie auf Vertrauenswürdige Stammzertifizierungsstellen, und klicken Sie dann auf Zertifikate.
  5. Doppelklicken Sie auf das Stammzertifikat Ihrer Zertifikatkette, von dem das ISA Server 2004 SSL Server-Zertifikat stammt.
  6. Überprüfen Sie auf der Registerkarte Details, ob ein Sperrpunktfeld nicht verfügbar ist.

Konfigurieren von CRL-Prüfungen in ISA Server 2004

  1. Um die ISA Serververwaltung zu starten, klicken Sie auf Starten, zeigen Sie auf Alle Programme, zeigen Sie auf Microsoft ISA Server, und klicken Sie dann auf ISA Server Management.
  2. Erweitern Sie Ihren ISA-Server, erweitern Sie die Konfiguration, und klicken Sie dann auf Allgemein.
  3. Klicken Sie im mittleren Bereich auf Zertifikatsperrung angeben.
  4. Klicken Sie hierauf, um das Kontrollkästchen Überprüfen, ob eingehende Clientzertifikate nicht gesperrt werden, auszuwählen, und klicken Sie dann auf OK.

So aktivieren Sie die Clientzertifikatauthentifizierung auf ISA Server 2004

  1. Um die ISA Serververwaltung zu starten, klicken Sie auf Starten, zeigen Sie auf Alle Programme, zeigen Sie auf Microsoft ISA Server, und klicken Sie dann auf ISA Server Management.
  2. Erweitern Sie Ihren ISA Server, und klicken Sie dann auf Firewallrichtlinie.
  3. Klicken Sie im mittleren Bereich mit der rechten Maustaste auf die Regel, die Sie konfigurieren möchten, und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf der Registerkarte Listener auf Eigenschaften.
  5. Klicken Sie auf der Registerkarte Einstellungen, und klicken Sie dann auf , um das Kontrollkästchen SSL aktivieren auszuwählen.
  6. Klicken Sie zweimal auf OK.

Status


Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den in diesem Artikel genannten Microsoft-Produkten handelt.