Klienci otrzymują komunikat o błędzie "500 Server", jeśli serwer sieci Web wymaga listy odwołania certyfikatów w programie ISA Server 2004


Symptomy


Jeśli używasz programu Microsoft Internet Security and Acceleration (ISA) Server 2004 do publikowania witryny sieci Web Secure Sockets Layer (SSL) serwera sieci Web, klienci mogą zostać wyświetlony następujący komunikat o błędzie:
Kod błędu: 500 wewnętrzny błąd serwera. Certyfikat został odwołany. (-2146885616)

Przyczyna


Ten problem występuje, jeśli zachodzą następujące warunki:
  • Testy listy odwołania certyfikatów (CRL) są włączone w programie ISA Server 2004. Aby uzyskać dodatkowe informacje dotyczące sposobu włączania sprawdzania listy CRL w programie ISA Server 2004 Zobacz sekcję "więcej informacji" w dalszej części tego artykułu.
  • Uwierzytelnianie certyfikatu klienta SSL jest włączone w regule publikowania w sieci Web. Aby uzyskać dodatkowe informacje dotyczące sposobu włączania uwierzytelniania certyfikatu klienta SSL w programie ISA Server 2004 Zobacz sekcję "więcej informacji" w dalszej części tego artykułu.
  • Certyfikat główny, na podstawie którego jest tworzony certyfikat serwera SSL na detektorach sieci Web programu ISA Server 2004, nie ma punktów dystrybucji listy CRL. Aby uzyskać dodatkowe informacje dotyczące sposobu sprawdzenia, czy certyfikat główny nie ma punktów dystrybucji listy CRL, zobacz sekcję "więcej informacji" w dalszej części tego artykułu.

Rozwiązanie


Informacje dotyczące dodatku Service Pack

Aby rozwiązać ten problem, należy uzyskać i zainstalować najnowszy dodatek Service Pack dla programu Internet Security i AccelerationServer 2004. Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
891024 jak uzyskać najnowszy dodatek Service Pack dla programu ISA Server 2004

Obejście


Aby obejść ten problem, należy ręcznie pobrać listę CRL, a następnie zainstalować go w magazynie certyfikatów komputera lokalnego. Uwaga Ponieważ lista CRL jest prawidłowa tylko przez ograniczony czas, należy okresowo pobierać nową listę CRL. Aby zainstalować listę CRL w magazynie certyfikatów komputera lokalnego, wykonaj następujące kroki:
  1. Zaloguj się do komputera jako członek lokalnej grupy administratorów.
  2. Otwórz przystawkę Certyfikaty dla konta komputera. Aby to zrobić, wykonaj następujące kroki:
    1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz MMC, a następnie kliknij przycisk OK.
    2. W menu plik kliknij polecenie Dodaj/Usuń przystawkę. Pojawi się okno dialogowe Dodaj/Usuń przystawkę .
    3. Na karcie autonomiczny kliknij przycisk Dodaj. Dodaj przystawkę autonomiczną pojawi się okno dialogowe.
    4. Na liście Dostępne przystawki autonomiczne kliknij pozycję Certyfikaty, a następnie kliknij przycisk Dodaj.
    5. Kliknij konto komputera, a następnie kliknij przycisk dalej.
    6. Kliknij przycisk komputer lokalny, a następnie kliknij przycisk Zakończ.
    7. Kliknij przycisk Zamknij, a następnie kliknij przycisk OK.
  3. Rozwiń węzeł Certyfikaty, kliknij prawym przyciskiem myszy pośrednie urzędy certyfikacji, kliknij polecenie wszystkie zadania, a następnie kliknij polecenie Importuj.
  4. Postępuj zgodnie z instrukcjami wyświetlanymi w kreatorze, aby ukończyć instalację.

Więcej informacji


Jak sprawdzić, czy certyfikat główny nie ma punktów dystrybucji listy CRL

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz MMC, a następnie kliknij przycisk OK.
  2. W menu plik kliknij polecenie Dodaj/Usuń przystawkę.
  3. Kliknij przycisk Dodaj, kliknij przycisk Certyfikaty, kliknij przycisk Dodaj, kliknij przycisk konto komputera, kliknij przycisk dalej, kliknij przycisk Zakończ, kliknij przycisk Zamknij, a następnie kliknij przycisk OK.
  4. Rozwiń węzeł Certyfikaty, kliknij przycisk Zaufane główne urzędy certyfikacji, a następnie kliknij Certyfikaty.
  5. Kliknij dwukrotnie certyfikat główny łańcucha certyfikatów, z którego pochodzi certyfikat serwera ISA Server 2004 SSL Server.
  6. Na karcie szczegóły Sprawdź, czy pole punkty dystrybucji listy CRL jest niedostępne.

Jak skonfigurować sprawdzanie listy CRL w programie ISA Server 2004

  1. Aby uruchomić program ISA Server Management, kliknij przycisk Start, wskaż polecenie Wszystkie programy, wskaż polecenie Microsoft ISA Server, a następnie kliknij polecenie ISA Server Management.
  2. Rozwiń węzeł programu ISA Server, rozwiń węzeł Konfiguracja, a następnie kliknij przycisk Ogólne.
  3. W środkowym okienku kliknij pozycję Określ odwołanie certyfikatu.
  4. Kliknij, aby zaznaczyć pole wyboru Sprawdź, czy przychodzące certyfikaty klienta nie są odwołane , a następnie kliknij przycisk OK.

Jak włączyć uwierzytelnianie certyfikatu klienta w programie ISA Server 2004

  1. Aby uruchomić program ISA Server Management, kliknij przycisk Start, wskaż polecenie Wszystkie programy, wskaż polecenie Microsoft ISA Server, a następnie kliknij polecenie ISA Server Management.
  2. Rozwiń węzeł programu ISA Server, a następnie kliknij pozycję zasady zapory.
  3. W środkowym okienku kliknij prawym przyciskiem myszy regułę, którą chcesz skonfigurować, a następnie kliknij polecenie Właściwości.
  4. Na karcie odbiornik kliknij przycisk Właściwości.
  5. Na karcie Preferencje , a następnie kliknij, aby zaznaczyć pole wyboru Włącz protokół SSL .
  6. Kliknij dwa razy przycisk OK.

Stan


Firma Microsoft potwierdziła, że jest to problem w produktach firmy Microsoft, które są wymienione w sekcji "dotyczy".