Klienter får felmeddelandet "500 server" om en webb server kräver en lista över återkallade certifikat i ISA Server 2004


Symptom


Om du använder Microsoft Internet Security and Acceleration (ISA) Server 2004 för att publicera en SSL-webbplats (Secure Sockets Layer) på en webbserver kan klienterna få följande felmeddelande:
Felkod: 500 internt Server fel. Certifikatet återkallas. (-2146885616)

Orsak


Problemet uppstår under följande förutsättningar:
  • Kontrollen av återkallade certifikat (CRL) är aktiverad i ISA Server 2004. Ytterligare information om hur du aktiverar CRL-kontroller i ISA Server 2004 finns i avsnittet "Mer information" senare i den här artikeln.
  • SSL-klientcertifikatautentisering är aktiverat i webb publiceringsregeln. Mer information om hur du aktiverar SSL-klientcertifikatautentisering i ISA Server 2004 finns i avsnittet "Mer information" senare i den här artikeln.
  • Rotcertifikatet där SSL-servercertifikatet på ISA Server 2004-webblyssnare härleds från har inga distributionsplatser för CRL. Mer information om hur du kontrollerar att rotcertifikatet inte har några CRL-distributionsplatser finns i avsnittet "Mer information" senare i den här artikeln.

Lösning


Information om Service Pack

Lös problemet genom att hämta och installera den senaste service Packet för Internet Security och AccelerationServer 2004. Om du vill veta mer klickar du på följande artikelnummer och visar artikeln i Microsoft Knowledge Base:
891024 hur du skaffar den senaste Service Pack-versionen för ISA Server 2004

Lösning


Undvik det här problemet genom att hämta CRL manuellt och installera den på den lokala datorns certifikatarkiv. Notera Eftersom listan över återkallade certifikat endast är giltig under en begränsad tid måste du regelbundet hämta en ny lista över återkallade certifikat. Så här installerar du en CRL till den lokala datorns certifikatarkiv:
  1. Logga in på datorn som medlem i den lokala gruppen Administratörer.
  2. Öppna snapin-modulen certifikat för datorkontot. Gör så här:
    1. Klicka på Start, klicka på Kör, Skriv MMCoch klicka sedan på OK.
    2. Klicka på Lägg till/ta bort snapin-modulArkiv -menyn. Dialogrutan Lägg till/ta bort snapin-modul visas.
    3. Klicka på Lägg tillpå fliken fristående . Dialogrutan Lägg till en fristående snapin-modul visas.
    4. Klicka på certifikati listan Tillgängliga fristående snapin-moduler och klicka sedan på Lägg till.
    5. Klicka på datorkontooch sedan på Nästa.
    6. Klicka på lokal datorochklicka sedan på Slutför.
    7. Klicka på Stängoch sedan på OK.
  3. Expandera certifikat, högerklicka på mellanliggande certifikatutfärdare, klicka på Alla aktiviteterochklicka sedan på Importera.
  4. Följ instruktionerna i guiden för att slutföra installationen.

Mer information


Så här kontrollerar du att rotcertifikatet inte har några CRL-distributionsplatser

  1. Klicka på Start, klicka på Kör, Skriv MMCoch klicka sedan på OK.
  2. Klicka på Lägg till/ta bort snapin-modulArkiv -menyn.
  3. Klicka på Lägg till, klicka på certifikat, klicka på Lägg till, klicka på datorkonto, klicka på Nästa, klicka på Slutför, klicka på Stängoch klicka sedan på OK.
  4. Expandera certifikat, klicka på Betrodda rotcertifikatutfärdareoch klicka sedan på certifikat.
  5. Dubbelklicka på rotcertifikatet för certifikatkedjan där ISA Server 2004 SSL-servercertifikatet härleds från.
  6. På fliken information kontrollerar du att fältet CRL-distributionsplatser inte är tillgängligt.

Så här konfigurerar du CRL-kontroller i ISA Server 2004

  1. Starta ISA Server Management genom att klicka på Start, peka på alla program, peka på Microsoft ISA Serveroch sedan klicka på ISA Server Management.
  2. Expandera ISA Server, expandera Konfigurationochklicka sedan på Allmänt.
  3. Klicka på Ange certifikatåterkallningi mittenfönstret.
  4. Markera kryssrutan Kontrollera att inkommande klientcertifikat inte har återkallats och klicka på OK.

Så här aktiverar du autentisering av klientcertifikat på ISA Server 2004

  1. Starta ISA Server Management genom att klicka på Start, peka på alla program, peka på Microsoft ISA Serveroch sedan klicka på ISA Server Management.
  2. Expandera ISA Server och klicka sedan på brandväggsprincip.
  3. Högerklicka på den regel som du vill konfigurera i mittenfönstret och klicka sedan på Egenskaper.
  4. På fliken lyssnare klickar du på Egenskaper.
  5. På fliken Inställningar och markera sedan kryssrutan Aktivera SSL .
  6. Klicka två gånger på OK.

Status


Microsoft har bekräftat att detta är ett problem i Microsoft-produkterna som nämns i avsnittet "gäller".