症状
如果使用 Microsoft Internet Security and Acceleration (ISA) Server 2004 发布安全套接字层 (SSL) Web 服务器的网站,客户端可能会收到以下错误消息:
错误代码:500 内部服务器错误。 证书已吊销。 (-2146885616)
原因
如果满足以下条件,则会出现此问题:
-
在 ISA Server 2004 中启用了证书吊销列表 (CRL) 检查。 有关如何在 ISA Server 2004 中启用 CRL 检查的其他信息,请参阅本文后面的“更多信息”部分。
-
在 Web 发布规则上启用了 SSL 客户端证书身份验证。 有关如何在 ISA Server 2004 中启用 SSL 客户端证书身份验证的其他信息,请参阅本文后面的“更多信息”部分。
-
ISA Server 2004 Web 侦听器上的 SSL 服务器证书派生自的根证书没有 CRL 分发点。 有关如何验证根证书是否没有 CRL 分发点的其他信息,请参阅本文后面的“更多信息”部分。
解决方法
Service Pack 信息
若要解决此问题,请获取并安装 Internet 安全和 AccelerationServer 2004 的最新 Service Pack。
解决方法
若要解决此问题,请手动下载 CRL,然后将其安装到本地计算机证书存储。
注意 由于 CRL 仅在有限时间内有效,因此必须定期检索新的 CRL。
若要将 CRL 安装到本地计算机证书存储区,请执行以下步骤:
-
以本地管理员组的成员身份登录到计算机。
-
打开计算机帐户的“证书”管理单元。 为此,请按照下列步骤操作:
-
单击 “开始”,单击“ 运行”,键入 mmc,然后单击“ 确定”。
-
在“ 文件 ”菜单上,单击“ 添加/删除管理单元”。 此时将显示 “添加/删除管理单元 ”对话框。
-
在“ 独立 ”选项卡中,单击“ 添加”。 此时会显示 “添加独立管理单元 ”对话框。
-
在 “可用的独立管理单元 ”列表中,单击“ 证书”,然后单击“ 添加”。
-
单击“ 计算机帐户”,然后单击“ 下一步”。
-
单击“ 本地计算机”,然后单击“ 完成”。
-
单击“ 关闭”,然后单击“ 确定”。
-
-
展开 “证书”,右键单击“ 中间证书颁发机构”,单击“ 所有任务”,然后单击“ 导入”。
-
按照向导中的说明完成安装。
更多信息
如何验证根证书是否没有 CRL 分发点
-
单击 “开始”,单击“ 运行”,键入 mmc,然后单击“ 确定”。
-
在“ 文件 ”菜单上,单击“ 添加/删除管理单元”。
-
依次单击“ 添加”、“ 证书”、“ 添加”、“ 计算机帐户”、“ 下一步”、“ 完成”、“ 关闭”和“ 确定”。
-
展开 “证书”,单击“ 受信任的根证书颁发机构”,然后单击“ 证书”。
-
双击 ISA Server 2004 SSL 服务器证书派生自的证书链的根证书。
-
在“ 详细信息 ”选项卡中,验证 CRL 分发点字段是否不可用。
如何在 ISA Server 2004 中配置 CRL 检查
-
若要开始ISA 服务器管理,请单击“开始”,指向“所有程序”,指向“Microsoft ISA 服务器”,然后单击“ISA 服务器管理”。
-
展开 ISA 服务器,展开 “配置”,然后单击“ 常规”。
-
在中间窗格中,单击“ 指定证书吊销”。
-
单击以选中 “验证传入的客户端证书未吊销 ”复选框,然后单击“ 确定”。
如何在 ISA Server 2004 上启用客户端证书身份验证
-
若要开始ISA 服务器管理,请单击“开始”,指向“所有程序”,指向“Microsoft ISA 服务器”,然后单击“ISA 服务器管理”。
-
展开 ISA 服务器,然后单击“ 防火墙策略”。
-
在中间窗格中,右键单击要配置的规则,然后单击“ 属性”。
-
在“ 侦听器 ”选项卡中,单击“ 属性”。
-
在“ 首选项 ”选项卡中,单击以选中“ 启用 SSL ”复选框。
-
单击“确定”两次。
状态
Microsoft 已经确认这是一个列于“适用范围”部分的 Microsoft 产品问题。
