Os clientes receber uma mensagem de erro "500 Server", se um servidor da Web requer uma lista de revogação de certificado no ISA Server 2004


Sintomas


Se utilizar o Microsoft Internet Security and Acceleration (ISA) Server 2004 para publicar um Web site do secure sockets layer (SSL) de um servidor Web, os clientes podem receber a seguinte mensagem de erro:
Código de erro: 500 Internal Server Error. O certificado é revogado. (-2146885616)

Causa


Este problema ocorre caso se verifiquem as seguintes condições:
  • Controlos de lista de revogação (CRL) de certificado estão activados no ISA Server 2004. Para obter informações adicionais sobre como activar as verificações de CRL no ISA Server 2004, consulte a secção "Mais informação" deste artigo.
  • Autenticação de certificado de cliente SSL está activada a regra de publicação na Web. Para obter informações adicionais sobre como activar a autenticação de certificados de cliente SSL do ISA Server 2004, consulte a secção "Mais informação" deste artigo.
  • O certificado de raiz em que o certificado de servidor SSL no ISA Server 2004 Web Listeners deriva tem sem pontos de distribuição de CRL. Para obter informações adicionais sobre como verificar se o certificado de raiz tem sem pontos de distribuição de CRL, consulte a secção "Mais informação" deste artigo.

Resolução


Informações sobre Service Packs

Para resolver este problema, obtenha e instale o service pack mais recente do Internet Security and AccelerationServer 2004. Para obter informações adicionais, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

891024 como obter o service pack mais recente do ISA Server 2004

Solução alternativa


Para contornar este problema, transferir manualmente a CRL e, em seguida, instalá-lo para o arquivo de certificados de computador local.



Nota Uma vez que a CRL seja válida apenas para um período de tempo limitado, tem de obter periodicamente uma nova CRL.



Para instalar uma CRL no arquivo de certificados de computador local, siga estes passos:
  1. Inicie sessão no computador como membro do grupo de administradores local.

  2. Abra o snap-in certificados para a conta de computador. Para tal, siga estes passos:

    1. Clique em Iniciar, clique em Executar, escreva mmce, em seguida, clique em OK.

    2. No menu ficheiro , clique em Adicionar/Remover Snap-in. Aparece a caixa de diálogo Adicionar/Remover Snap-in .

    3. No separador autónomo , clique em Adicionar. Aparece a caixa de diálogo Adicionar Snap-in autónomo .

    4. Na lista de Snap-ins autónomos disponíveis , clique em certificadose, em seguida, clique em Adicionar.

    5. Clique na conta de computadore, em seguida, clique em seguinte.

    6. Clique em Computador Locale, em seguida, clique em Concluir.

    7. Clique em Fechare, em seguida, clique em OK.
  3. Expanda certificados, com o botão direito Autoridades de certificação intermediárias, clique em Todas as tarefase, em seguida, clique em Importar.
  4. Siga as instruções do Assistente para concluir a instalação.

Mais informações


Como verificar se o certificado de raiz tem sem pontos de distribuição de CRL

  1. Clique em Iniciar, clique em Executar, escreva mmce, em seguida, clique em OK.
  2. No menu ficheiro , clique em Adicionar/Remover Snap-in.
  3. Clique em Adicionar, clique em certificados, clique em Adicionar, clique na conta de computador, clique em seguinte, clique em Concluir, clique em Fechare, em seguida, clique em OK.
  4. Expanda certificados, clique em Autoridades de certificação de raiz fidedignae, em seguida, clique em certificados.
  5. Faça duplo clique sobre o certificado de raiz da sua cadeia de certificados de onde provém o certificado de servidor SSL do ISA Server 2004.
  6. No separador Detalhes , certifique-se de que uma distribuição de CRL aponta o campo não está disponível.


Como configurar CRL verifica no ISA Server 2004

  1. Para iniciar a gestão do ISA Server, clique em Iniciar, aponte para Todos os programas, aponte para Microsoft ISA Servere, em seguida, clique em Gestão do ISA Server.
  2. Expanda o servidor ISA, expanda a configuraçãoe, em seguida, clique em Geral.
  3. No painel intermédio, clique em Especificar revogação de certificados.
  4. Clique para seleccionar a caixa de verificação verificar que os certificados não são revogados o cliente receber e, em seguida, clique em OK.

Como activar a autenticação de certificado de cliente no ISA Server 2004

  1. Para iniciar a gestão do ISA Server, clique em Iniciar, aponte para Todos os programas, aponte para Microsoft ISA Servere, em seguida, clique em Gestão do ISA Server.
  2. Expanda o ISA Server e, em seguida, clique em Política de Firewall.

  3. No painel intermédio, com o botão direito na regra que pretende configurar e, em seguida, clique em Propriedades.
  4. No separador ' serviço de escuta , clique em Propriedades.

  5. Nas Preferências de separador e, em seguida, clique para seleccionar a activar SSL caixa de verificação.
  6. Clique duas vezes em OK .

Estado


A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".