Clients ontvangen een foutbericht ' 500 server ' als voor een webserver een certificaatintrekkingslijst is vereist in ISA Server 2004


Symptomen


Als u Microsoft Internet Security and Acceleration (ISA) Server 2004 gebruikt om een SSL-website (Secure Sockets Layer) van een webserver te publiceren, kunnen clients het volgende foutbericht weergegeven:
Fout code: 500 interne server fout. Het certificaat wordt ingetrokken. (-2146885616)

Oorzaak


Dit probleem treedt op als de volgende voorwaarden van toepassing zijn:
  • Controle van certificaatintrekkingslijsten (CRL) zijn ingeschakeld in ISA Server 2004. Zie de sectie ' meer informatie ' verderop in dit artikel voor meer informatie over het inschakelen van CRL-controles in ISA Server 2004.
  • SSL-verificatie van client certificaten is ingeschakeld op de webpublicatieregel. Zie de sectie ' meer informatie ' verderop in dit artikel voor meer informatie over het inschakelen van verificatie van SSL-client certificaten in ISA Server 2004.
  • Het basiscertificaat waar het SSL-servercertificaat op de ISA Server 2004-Weblisteners is afgeleid van heeft geen CRL-distributiepunten. Zie de sectie ' meer informatie ' verderop in dit artikel voor meer informatie over hoe u controleert of het basiscertificaat geen CRL-distributiepunten heeft.

Oplossing


Informatie over het Service Pack

U lost dit probleem, ophalen en installeren van het meest recente Service Pack voor Internet Security en AccelerationServer 2004. Klik voor meer informatie op het volgende artikelnummer in de Microsoft Knowledge Base:
891024 het verkrijgen van het meest recente ISA Server 2004 Service Pack

Tijdelijke oplossing


U dit probleem omzeilen door de CRL handmatig te downloaden en vervolgens te installeren in het certificaatarchief van de lokale computer. Opmerking Omdat de CRL slechts gedurende een beperkte periode geldig is, moet u periodiek een nieuwe CRL ophalen. Als u een CRL wilt installeren in het certificaatarchief van de lokale computer, voert u de volgende stappen uit:
  1. Meld u bij de computer aan als lid van de lokale groep Administrators.
  2. Open de module Certificaten voor de computeraccount. Hiertoe gaat u als volgt te werk:
    1. Klik op Start, klik op uitvoeren, typ MMCen klik op OK.
    2. Klik in het menu bestand op module toevoegen/verwijderen. Het dialoogvenster module toevoegen/verwijderen wordt weergegeven.
    3. Klik op het tabblad zelfstandig op toevoegen. Het dialoogvenster zelfstandige module toevoegen wordt weergegeven.
    4. Klik in de lijst Beschikbare zelfstandige modules op certificatenenklik vervolgens op toevoegen.
    5. Klik op computer accounten klik op volgende.
    6. Klik op lokale computerenklik vervolgens op Voltooien.
    7. Klik op sluitenen klik vervolgens op OK.
  3. Vouw certificaten, met de rechtermuisknop op tussenliggende certificeringsinstanties, klikt u op alle taken, en klik vervolgens op importeren.
  4. Volg de instructies in de wizard om de installatie te voltooien.

Meer informatie


Controleren of het basiscertificaat geen CRL-distributiepunten heeft

  1. Klik op Start, klik op uitvoeren, typ MMCen klik op OK.
  2. Klik in het menu bestand op module toevoegen/verwijderen.
  3. Klik op toevoegen, klikt u op certificaten, klikt u op toevoegen, computer account, klikt u op volgende, klikt u op Voltooien, klikt u op sluiten, en klik vervolgens op OK.
  4. Vouw certificaten, klikt u op vertrouwde basiscertificeringsinstanties, en klik vervolgens op certificaten.
  5. Dubbelklik op het basiscertificaat van uw certificaatketen waar het ISA Server 2004 SSL-servercertificaat vandaan komt.
  6. Controleer op het tabblad Details of een veld CRL-distributiepunten niet beschikbaar is.

CRL-cheques configureren in ISA Server 2004

  1. Als u ISA Server Management wilt starten, klikt u op Start, wijst u alle Programma'saan, wijst u Microsoft ISA Serveraan en klikt u vervolgens op ISA Server Management.
  2. Vouw de ISA-Server uit, vouw configuratieenklik vervolgens op Algemeen.
  3. Klik in het middelste deelvenster op certificaatintrekking opgeven.
  4. Schakel het selectievakje controleren of binnenkomende clientcertificaten niet zijn ingetrokken en klik op OK.

Verificatie van client certificaten inschakelen op ISA Server 2004

  1. Als u ISA Server Management wilt starten, klikt u op Start, wijst u alle Programma'saan, wijst u Microsoft ISA Serveraan en klikt u vervolgens op ISA Server Management.
  2. Vouw de ISA-Server uit en klik op firewall beleid.
  3. Klik in het middelste deelvenster met de rechtermuisknop op de regel die u wilt configureren en klik vervolgens op Eigenschappen.
  4. Klik op het tabblad listener op Eigenschappen.
  5. Op het tabblad Voorkeuren en schakel het selectievakje SSL inschakelen in.
  6. Klik tweemaal op OK.

Status


Microsoft heeft bevestigd dat dit probleem zich kan voordoen in de Microsoft-producten die worden vermeld in de sectie Van toepassing op.