Проблемы
Если вы используете Microsoft Internet Security and Acceleration (ISA) Server 2004 для публикации веб-сайта ssl веб-сервера, клиенты могут получить следующее сообщение об ошибке:
Код ошибки: 500 Внутренняя ошибка сервера. Сертификат отозван. (-2146885616)
Причина
Подобное поведение наблюдается, если выполняются указанные ниже условия.
-
Проверки списка отзыва сертификатов (CRL) включены в ISA Server 2004. Дополнительные сведения о том, как включить проверки списка отзыва сертификатов в ISA Server 2004, см. в разделе "Дополнительные сведения" далее в этой статье.
-
Проверка подлинности ssl-сертификата клиента включена в правиле веб-публикации. Дополнительные сведения о том, как включить проверку подлинности ssl-сертификата клиента в ISA Server 2004, см. в разделе "Дополнительные сведения" далее в этой статье.
-
Корневой сертификат, от которого получен сертификат SSL-сервера в веб-прослушивателях ISA Server 2004, не имеет точек распространения списка отзыва сертификатов. Дополнительные сведения о том, как убедиться, что у корневого сертификата нет точек распространения CRL, см. в разделе "Дополнительные сведения" далее в этой статье.
Решение
Сведения о пакете обновления
Чтобы устранить эту проблему, получите и установите последний пакет обновления для Internet Security и AccelerationServer 2004.
Обходное решение
Чтобы обойти эту проблему, вручную скачайте список отзыва сертификатов и установите его в хранилище сертификатов локального компьютера.
Примечание. Так как список отзыва сертификатов действителен только в течение ограниченного времени, необходимо периодически получать новый список отзыва сертификатов. Чтобы установить список отзыва сертификатов в хранилище сертификатов локального компьютера, выполните следующие действия.-
Войдите на компьютер в качестве члена локальной группы администраторов.
-
Откройте оснастку Сертификаты для учетной записи компьютера. Для этого выполните следующие действия:
-
Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите mmc и нажмите кнопку ОК.
-
В меню Файл выберите пункт Добавить или удалить оснастку. Откроется диалоговое окно Добавление и удаление оснастки .
-
На вкладке Автономный нажмите кнопку Добавить. Откроется диалоговое окно Добавление автономной оснастки .
-
В списке Доступные автономные оснастки щелкните Сертификаты, а затем нажмите кнопку Добавить.
-
Щелкните Учетная запись компьютера, а затем нажмите кнопку Далее.
-
Щелкните Локальный компьютер и нажмите кнопку Готово.
-
Нажмите кнопку Закрыть, а затем нажмите кнопку ОК.
-
-
Разверните узел Сертификаты, щелкните правой кнопкой мыши промежуточные центры сертификации, выберите Пункт Все задачи, а затем — Импорт.
-
Следуйте инструкциям мастера, чтобы завершить установку.
Дополнительная информация
Как убедиться, что корневой сертификат не имеет точек распространения CRL
-
Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите mmc и нажмите кнопку ОК.
-
В меню Файл выберите пункт Добавить или удалить оснастку.
-
Нажмите кнопку Добавить, Сертификаты, Добавить, Учетная запись компьютера, Далее, Готово, Закрыть и нажмите кнопку ОК.
-
Разверните узел Сертификаты, щелкните Доверенные корневые центры сертификации, а затем — Сертификаты.
-
Дважды щелкните корневой сертификат цепочки сертификатов, от которой является сертификат SSL-сервера ISA Server 2004.
-
На вкладке Сведения убедитесь, что поле точки распространения CRL недоступно.
Настройка проверок списка отзыва сертификатов в ISA Server 2004
-
Чтобы запустить управление серверами ISA, нажмите кнопку Пуск, выберите Пункт Все программы, Microsoft ISA Server, а затем — Управление ISA-сервером.
-
Разверните сервер ISA, разверните узел Конфигурация и нажмите кнопку Общие.
-
В средней области щелкните Указать отзыв сертификата.
-
Установите флажок Убедиться, что входящие сертификаты клиента не отозваны , а затем нажмите кнопку ОК.
Включение проверки подлинности с помощью сертификата клиента в ISA Server 2004
-
Чтобы запустить управление серверами ISA, нажмите кнопку Пуск, выберите Пункт Все программы, Microsoft ISA Server, а затем — Управление ISA-сервером.
-
Разверните сервер ISA и щелкните Политика брандмауэра.
-
В средней области щелкните правой кнопкой мыши правило, которое нужно настроить, и выберите пункт Свойства.
-
На вкладке Прослушиватель щелкните Свойства.
-
На вкладке Параметры установите флажок Включить SSL .
-
Нажмите кнопку OK два раза.
Статус
Корпорация Майкрософт подтверждает наличие этой проблемы в своих продуктах, которые перечислены в разделе "Применяется к".