Los clientes reciben un mensaje de error "500 Server" si un servidor Web requiere una lista de revocación de certificados en ISA Server 2004


Síntomas


Si utiliza Microsoft Internet Security and Acceleration (ISA) Server 2004 para publicar un sitio Web de capa de sockets seguros (SSL) de un servidor Web, los clientes pueden recibir el siguiente mensaje de error:
Código de error: 500 Error interno del servidor. Se revoca el certificado. (-2146885616)

Causa


Este problema se produce si se cumplen las siguientes condiciones:
  • Las comprobaciones de la lista de revocación de certificados (CRL) están habilitadas en ISA Server 2004. Para obtener información adicional acerca de cómo habilitar las comprobaciones de CRL en ISA Server 2004, consulte la sección "Más información" más adelante en este artículo.
  • La autenticación de certificado de cliente SSL está habilitada en la regla de publicación web. Para obtener información adicional acerca de cómo habilitar la autenticación de certificados de cliente SSL en ISA Server 2004, consulte la sección "Más información" más adelante en este artículo.
  • El certificado raíz del que se deriva el certificado de servidor SSL en los agentes de escucha web de ISA Server 2004 no tiene puntos de distribución CRL. Para obtener información adicional acerca de cómo comprobar que el certificado raíz no tiene puntos de distribución CRL, consulte la sección "Más información" más adelante en este artículo.

Resolución


Información del Service Pack

Para resolver este problema, obtenga e instale el Service Pack más reciente para Internet Security y AccelerationServer 2004. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
891024 Cómo obtener el último Service Pack de ISA Server 2004

Solución alternativa


Para evitar este problema, descargue manualmente la CRL y, a continuación, instálela en el almacén de certificados del equipo local. Nota Dado que la CRL solo es válida durante un tiempo limitado, debe recuperar periódicamente una nueva CRL. Para instalar una CRL en el almacén de certificados del equipo local, siga estos pasos:
  1. Inicie sesión en el equipo como miembro del grupo de administradores locales.
  2. Abra el complemento Certificados para la cuenta de equipo. Para ello, siga estos pasos:
    1. Haga clic en Inicio y en Ejecutar, escriba mmc y haga clic en Aceptar.
    2. En el menú Archivo , haga clic en Agregar o quitar complemento. Aparece el cuadro de diálogo Agregar o quitar complemento.
    3. En la pestaña Independiente, haga clic en Agregar. Aparece el cuadro de diálogo Agregar complemento independiente.
    4. En la lista Complementos independientes disponibles, haga clic en Certificadosy, a continuación, haga clic en Agregar.
    5. Haga clic en Cuenta de equipoy, a continuación, haga clic en Siguiente.
    6. Haga clic en Equipo localy, a continuación, haga clic en Finalizar.
    7. Haga clic en Cerrar y en Aceptar.
  3. Expanda Certificados, haga clic con el botón secundario en Entidades de certificación intermedias, haga clic en Todas las tareasy, a continuación, haga clic en Importar.
  4. Siga las instrucciones del asistente para completar la instalación.

Más información


Cómo verificar que el certificado raíz no tiene puntos de distribución CRL

  1. Haga clic en Inicio y en Ejecutar, escriba mmc y haga clic en Aceptar.
  2. En el menú Archivo , haga clic en Agregar o quitar complemento.
  3. Haga clic en Agregar, haga clic en Certificados, haga clic en Agregar, haga clic en Cuentade equipo , haga clic en Siguiente, haga clic en Finalizar, haga clic en Cerrary, a continuación, haga clic en Aceptar.
  4. Expanda Certificados, haga clic en Entidades de certificación raízde confianza y, a continuación, haga clic en Certificados.
  5. Haga doble clic en el certificado raíz de la cadena de certificados de donde deriva el certificado de servidor SSL de ISA Server 2004.
  6. En la pestaña Detalles, compruebe que un campo de puntos de distribución CRL no esté disponible.

Cómo configurar las comprobaciones CRL en ISA Server 2004

  1. Para iniciar ISA Server Management , haga clic en Inicio, seleccione Todos los programas, Microsoft ISA Servery, a continuación, haga clic en Administración de servidores ISA.
  2. Expanda el servidor ISA, expanda Configuracióny, a continuación, haga clic en General.
  3. En el panel central, haga clic en Especificar revocaciónde certificado .
  4. Haga clic para activar la casilla Comprobar que los certificados de cliente entrantes no se revocan y, a continuación, haga clic en Aceptar.

Cómo habilitar la autenticación de certificados de cliente en ISA Server 2004

  1. Para iniciar ISA Server Management , haga clic en Inicio, seleccione Todos los programas, Microsoft ISA Servery, a continuación, haga clic en Administración de servidores ISA.
  2. Expanda el servidor ISA y, a continuación, haga clic en Directiva de firewall.
  3. En el panel central, haga clic con el botón secundario en la regla que desea configurar y, a continuación, haga clic en Propiedades.
  4. En la pestaña Escucha, haga clic en Propiedades.
  5. En la pestaña Preferencias y, a continuación, haga clic para activar la casilla Habilitar SSL.
  6. Haga clic en Aceptar dos veces.

Estado


Microsoft ha confirmado que se trata de un problema de los productos de Microsoft recogidos en la sección "Se aplica a".