Symptom
Om du använder Microsoft Internet Security and Acceleration (ISA) Server 2004 för att publicera en SSL-webbplats (Secure Sockets Layer) på en webbserver kan klienter få följande felmeddelande:
Felkod: 500 Internt serverfel. Certifikatet återkallas. (-2146885616)
Orsak
Problemet uppstår under följande förutsättningar:
-
Kontroller av återkallade certifikat (CRL) aktiveras i ISA Server 2004. Mer information om hur du aktiverar CRL-kontroller i ISA Server 2004 finns i avsnittet "Mer information" längre fram i den här artikeln.
-
SSL-klientcertifikatautentisering är aktiverad i webpubliceringsregeln. Mer information om hur du aktiverar SSL-klientcertifikatautentisering i ISA Server 2004 finns i avsnittet "Mer information" längre fram i den här artikeln.
-
Rotcertifikatet där SSL Server-certifikatet på ISA Server 2004 Web Listeners härleds från har inga CRL-distributionspunkter. Mer information om hur du verifierar att rotcertifikatet inte har några CRL-distributionspunkter finns i avsnittet "Mer information" längre fram i den här artikeln.
Lösning
Information om Service Pack
Lös problemet genom att hämta och installera den senaste Service Pack-versionen för Internet Security and AccelerationServer 2004.
Lösning
Du kan komma runt det här problemet genom att manuellt ladda ned crl-filen och sedan installera den i det lokala datorcertifikatarkivet.
Obs! Eftersom crl bara är giltigt under en begränsad tid måste du regelbundet hämta en ny crl.
Gör så här om du vill installera en crl-licens i certifikatarkivet på den lokala datorn:
-
Logga in på datorn som medlem i den lokala administratörsgruppen.
-
Öppna snapin-modulen Certifikat för datorkontot. Gör så här:
-
Klicka på Start, klicka på Kör, skriv mmc och klicka sedan på OK.
-
Klicka på Lägg till/ta bort snapin-modul på Arkiv-menyn. Dialogrutan Lägg till/ta bort snapin-modul visas.
-
Klicka på Lägg till på fliken Fristående. Dialogrutan Lägg till fristående snapin-modul visas.
-
Klicka på Certifikati listan Tillgängliga fristående snapin-modul och klicka sedan på Lägg till.
-
Klicka på Datorkonto och sedan på Nästa.
-
Klicka på Lokal dator och sedan på Slutför.
-
Klicka på Stäng och sedan på OK.
-
-
Expandera Certifikat, högerklicka på Mellanliggande certifikatutfärdare, klicka på Alla uppgifter och klicka sedan på Importera.
-
Slutför installationen genom att följa anvisningarna i guiden.
Mer information
Så här verifierar du att rotcertifikatet inte har några CRL-distributionspunkter
-
Klicka på Start, klicka på Kör, skriv mmc och klicka sedan på OK.
-
Klicka på Lägg till/ta bort snapin-modul på Arkiv-menyn.
-
Klicka på Lägg till, klicka på Certifikat, klicka på Lägg till, klicka på Datorkonto, klicka på Nästa, klicka på Slutför, klicka på Stäng och sedan på OK.
-
Expandera Certifikat, klicka på Betrodda rotcertifikatutfärdare och klicka sedan på Certifikat.
-
Dubbelklicka på rotcertifikatet för certifikatkedjan där ISA Server 2004 SSL Server-certifikatet härleds från.
-
Kontrollera att fältet CRL-distributionspunkter inte är tillgängligt på fliken Information .
Så här konfigurerar du CRL-kontroller i ISA Server 2004
-
Starta ISA Server Management genom att klicka på Start, peka på Alla program, peka på Microsoft ISA Server och sedan klicka på ISA Server Management.
-
Expandera ISA-servern, expandera Konfiguration och klicka sedan på Allmänt.
-
Klicka på Ange återkallande av certifikat i mittenrutan.
-
Markera kryssrutan Kontrollera att certifikat för inkommande klient inte återkallas och klicka sedan på OK.
Aktivera klientcertifikatautentisering på ISA Server 2004
-
Starta ISA Server Management genom att klicka på Start, peka på Alla program, peka på Microsoft ISA Server och sedan klicka på ISA Server Management.
-
Expandera ISA-servern och klicka sedan på Brandväggsprincip.
-
Högerklicka på regeln som du vill konfigurera i mittenrutan och klicka sedan på Egenskaper.
-
Klicka på Egenskaper på fliken Lyssnare.
-
Markera kryssrutan Aktivera SSL genom att klicka på fliken Inställningar.
-
Klicka två gånger på OK.
Status
Microsoft har bekräftat att detta är ett problem i de Microsoft-produkter som listas i avsnittet "Gäller för".