Sintomas
Se você usar o ISA (Microsoft Internet Security and Acceleration) Server 2004 para publicar um site de SSL (camada de soquetes seguros) de um servidor Web, os clientes poderão receber a seguinte mensagem de erro:
Código de erro: 500 Erro interno do servidor. O certificado é revogado. (-2146885616)
Causa
Esse problema ocorrerá se as seguintes condições forem verdadeiras:
-
As verificações de CRL (Lista de Revogação de Certificado) estão habilitadas no ISA Server 2004. Para obter informações adicionais sobre como habilitar verificações de CRL no ISA Server 2004, consulte a seção "Mais Informações" mais adiante neste artigo.
-
A autenticação do Certificado de Cliente SSL está habilitada na Regra de Publicação da Web. Para obter informações adicionais sobre como habilitar a autenticação de certificado do cliente SSL no ISA Server 2004, consulte a seção "Mais Informações" mais adiante neste artigo.
-
O certificado raiz do qual o Certificado do Servidor SSL nos Ouvintes Web do ISA Server 2004 é derivado não tem pontos de distribuição de CRL. Para obter informações adicionais sobre como verificar se o certificado raiz não tem pontos de distribuição de CRL, consulte a seção "Mais informações" mais adiante neste artigo.
Resolução
Informações do pacote de serviço
Para resolver esse problema, obtenha e instale o pacote de serviços mais recente para Internet Security e AccelerationServer 2004.
Solução alternativa
Para resolver esse problema, baixe manualmente o CRL e instale-o no repositório de certificados de computador local.
Observação Como o CRL é válido apenas por um tempo limitado, você deve recuperar periodicamente um novo CRL.
Para instalar um CRL no repositório de certificados de computador local, siga estas etapas:
-
Faça logon no computador como membro do grupo de administradores locais.
-
Abra o snap-in Certificados para a conta do computador. Para fazer isso, siga estas etapas:
-
Clique em Iniciar, em Executar, digite mmc e clique em OK.
-
No menu Arquivo , clique em Adicionar/Remover Snap-in. A caixa de diálogo Adicionar/Remover Snap-in é exibida.
-
Na guia Autônomo , clique em Adicionar. A caixa de diálogo Adicionar Snap-in Autônomo é exibida.
-
Na lista Snap-ins autônomos disponíveis , clique em Certificados e clique em Adicionar.
-
Clique em Conta de computador e clique em Avançar.
-
Clique em Computador local e clique em Concluir.
-
Clique em Fechar e em OK.
-
-
Expanda Certificados, clique com o botão direito do mouse em Autoridades de Certificação Intermediárias, clique em Todas as Tarefas e clique em Importar.
-
Siga as instruções no assistente para concluir a instalação.
Informações adicionais
Como verificar se o certificado raiz não tem pontos de distribuição de CRL
-
Clique em Iniciar, clique em Executar, digite mmc e clique em OK.
-
No menu Arquivo , clique em Adicionar/Remover Snap-in.
-
Clique em Adicionar, clique em Certificados, clique em Adicionar, clique em Conta de computador, clique em Avançar, clique em Concluir, clique em Fechar e clique em OK.
-
Expanda Certificados, clique em Autoridades de Certificação raiz confiáveis e clique em Certificados.
-
Clique duas vezes no certificado raiz da cadeia de certificados da qual o certificado SSL Server do ISA Server 2004 deriva.
-
Na guia Detalhes , verifique se um campo de pontos de distribuição CRL não está disponível.
Como configurar verificações de CRL no ISA Server 2004
-
Para iniciar Gerenciamento do ISA Server, clique em Iniciar, aponte para Todos os Programas, aponte para o Microsoft ISA Server e clique em Gerenciamento do ISA Server.
-
Expanda seu SERVIDOR ISA, expanda Configuração e clique em Geral.
-
No painel do meio, clique em Especificar Revogação de Certificado.
-
Clique para selecionar a caixa de seleção Verificar se os certificados de cliente de entrada não são revogados e clique em OK.
Como habilitar a autenticação do Certificado de Cliente no ISA Server 2004
-
Para iniciar Gerenciamento do ISA Server, clique em Iniciar, aponte para Todos os Programas, aponte para o Microsoft ISA Server e clique em Gerenciamento do ISA Server.
-
Expanda seu SERVIDOR ISA e clique em Política de Firewall.
-
No painel do meio, clique com o botão direito do mouse na regra que você deseja configurar e clique em Propriedades.
-
Na guia Ouvinte , clique em Propriedades.
-
Na guia Preferências e clique para selecionar a caixa de seleção Habilitar SSL .
-
Clique em OK duas vezes.
Status
A Microsoft confirmou que este é um problema nos produtos Microsoft listados na seção "Aplicável a".