現象
Microsoft Internet Security and Acceleration (ISA) Server 2004 を使用して Web サーバーのセキュリティで保護されたソケット レイヤー (SSL) Web サイトを公開する場合、クライアントは次のエラー メッセージを受け取る可能性があります。
エラー コード: 500 内部サーバー エラー。 証明書が失効しています。 (-2146885616)
原因
この問題は、次の条件に該当する場合に発生します。
-
証明書失効リスト (CRL) チェックは、ISA Server 2004 で有効になっています。 ISA Server 2004 で CRL チェックを有効にする方法の詳細については、この記事の後半の「詳細情報」セクションを参照してください。
-
SSL クライアント証明書認証は、Web 発行規則で有効になっています。 ISA Server 2004 で SSL クライアント証明書認証を有効にする方法の詳細については、この記事の後半の「詳細情報」セクションを参照してください。
-
ISA Server 2004 Web リスナーの SSL サーバー証明書が派生したルート証明書には、CRL 配布ポイントがありません。 ルート証明書に CRL 配布ポイントがないことを確認する方法の詳細については、この記事の後半の「詳細情報」セクションを参照してください。
解決方法
Service Pack の情報
この問題を解決するには、Internet Security および AccelerationServer 2004 用の最新の Service Pack を入手してインストールします。
回避策
この問題を回避するには、CRL を手動でダウンロードし、ローカル コンピューターの証明書ストアにインストールします。
注 CRL は一定期間だけ有効であるため、新しい CRL を定期的に取得する必要があります。
ローカル コンピューター証明書ストアに CRL をインストールするには、次の手順に従います。
-
ローカル管理者グループのメンバーとしてコンピューターにログオンします。
-
コンピューター アカウントの [証明書] スナップインを開きます。 この場合、次の手順を実行します。
-
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。「mmc」と入力し、[OK] をクリックします。
-
[ ファイル ] メニューの [ スナップインの追加と削除] をクリックします。 [ スナップインの追加と削除 ] ダイアログ ボックスが表示されます。
-
[ スタンドアロン ] タブで、[ 追加] をクリックします。 [ スタンドアロン スナップインの追加] ダイアログ ボックスが表示されます。
-
[ 使用可能なスタンドアロン スナップイン ] の一覧で、[ 証明書] をクリックし、[ 追加] をクリックします。
-
[ コンピューター アカウント] をクリックし、[ 次へ] をクリックします。
-
[ ローカル コンピューター] をクリックし、[完了] をクリック します。
-
[閉じる] をクリックし、[OK] をクリックします。
-
-
[証明書] を展開し、[中間証明機関] を右クリックし、[すべてのタスク] をクリックして、[インポート] をクリックします。
-
ウィザードの指示に従ってインストールを完了します。
詳細情報
ルート証明書に CRL 配布ポイントがないことを確認する方法
-
[ スタート] をクリックし、[ 実行] をクリックし、「mmc」と入力して、[OK] をクリック します。
-
[ ファイル ] メニューの [ スナップインの追加と削除] をクリックします。
-
[ 追加] をクリックし、[ 証明書] をクリックし、[ 追加] をクリックし、[ コンピューター アカウント] をクリックし、[ 次へ]、[ 完了] の順にクリックし、[ 閉じる] をクリックして、[OK] をクリック します。
-
[ 証明書] を展開し、[ 信頼されたルート証明機関] をクリックし、[ 証明書] をクリックします。
-
ISA Server 2004 SSL Server 証明書の派生元である証明書チェーンのルート証明書をダブルクリックします。
-
[ 詳細 ] タブで、[CRL 配布ポイント] フィールドが使用できないかどうかを確認します。
ISA Server 2004 で CRL チェックを構成する方法
-
ISA サーバー管理を開始するには、[ スタート] をクリックし、[ すべてのプログラム] をポイントし、[ Microsoft ISA Server] をポイントして、[ ISA Server Management] をクリックします。
-
ISA サーバーを展開し、[ 構成] を展開し、[ 全般] をクリックします。
-
中央のウィンドウで、[ 証明書失効の指定] をクリックします。
-
[ 受信クライアント証明書が失効しないことを確認 する] チェック ボックスをオンにし、[OK] をクリック します。
ISA Server 2004 でクライアント証明書認証を有効にする方法
-
ISA サーバー管理を開始するには、[ スタート] をクリックし、[ すべてのプログラム] をポイントし、[ Microsoft ISA Server] をポイントして、[ ISA Server Management] をクリックします。
-
ISA サーバーを展開し、[ ファイアウォール ポリシー] をクリックします。
-
中央のウィンドウで、構成するルールを右クリックし、[ プロパティ] をクリックします。
-
[ リスナー ] タブで、[ プロパティ] をクリックします。
-
[基本設定] タブ で 、[ SSL を有効にする ] チェック ボックスをオンにします。
-
[OK] を 2 回クリックします。
状態
マイクロソフトでは、この問題をこの資料の対象製品として記載されているマイクロソフト製品の問題として認識しています。