徵兆
如果您使用 MICROSOFT Internet Security and Acceleration (ISA) Server 2004 將安全通訊端層發佈 (SSL) 網站,用戶端可能會收到下列錯誤訊息:
錯誤碼:500 內部伺服器錯誤。 憑證已撤銷。 (-2146885616)
原因
如果下列條件為 True,就會發生此問題:
-
ISA Server 2004 中已啟用 (CRL) 檢查的憑證吊銷清單。 如需有關如何在 ISA Server 2004 中啟用 CRL 檢查的其他資訊,請參閱本文稍後的一節。
-
SSL 用戶端憑證驗證已在 Web 發佈規則上啟用。 如需有關如何在 ISA Server 2004 中啟用 SSL 用戶端憑證驗證的其他資訊,請參閱本文稍後的一節。
-
在 ISA Server 2004 Web Listeners 上衍生 SSL Server 憑證的根憑證沒有 CRL 發佈點。 如需有關如何確認根憑證沒有 CRL 發佈點的其他資訊,請參閱本文稍後的一節。
解決方案
Service Pack 資訊
若要解決此問題,請取得並安裝適用于 Internet Security and AccelerationServer 2004 的最新 Service Pack。
因應措施
若要解決此問題,請手動下載 CRL,然後安裝到本機電腦證書存放區。
注意 因為 CRL 只有效一段時間,您必須定期擷取新的 CRL。 若要將 CRL 安裝到本機電腦證書存放區,請遵循下列步驟:-
以本機系統管理員群組的成員身分登入電腦。
-
開啟電腦帳戶的憑證嵌入式管理。 如果要執行這項操作,請依照下列步驟執行:
-
按一下 [開始],再按一下 [執行],輸入 mmc,然後按一下 [確定]。
-
在 [ 檔案] 功能表上,按一下 [新增/移除嵌入式管理]。 [新增/移除嵌入式管理] 對話方塊隨即出現。
-
在 [ 獨立] 索引 標籤中,按一下 [ 新增]。 [新增獨立嵌入式] 對話方塊隨即出現。
-
在 [可用的獨立嵌入式清單] 中 ,按一下 [ 憑證],然後按一下 [ 新增]。
-
按一下 [電腦帳戶],然後按 [ 下一步]。
-
按一下 [本機電腦],然後按一下 [ 完成]。
-
按一下 [關閉],然後按一下 [確定]。
-
-
展開 [憑證],以滑鼠右鍵按一下 [ 中繼憑證授權單位單位],按一下 [ 所有工作],然後按一下 [ 匯入]。
-
依照精靈中的指示完成安裝。
其他相關資訊
如何確認根憑證沒有 CRL 分配點
-
按一下 [開始],按一下 [ 執行],輸入 mmc,然後按一下 [ 確定]。
-
在 [ 檔案] 功能表上,按一下 [新增/移除嵌入式管理]。
-
按一下 [新增],依序按一下 [憑證]、[ 新增]、[ 電腦帳戶]、[ 下一步]、[ 完成]、[ 關閉],然後按一下 [ 確定]。
-
展開 [憑證],按一下 [ 受信任的跟憑證授權單位單位],然後按一下 [ 憑證]。
-
按兩下 ISA Server 2004 SSL Server 憑證衍生來源之憑證鏈的根憑證。
-
在 [ 詳細資料] 索 引標籤中,確認 CRL 發佈點欄位無法使用。
如何在 ISA Server 2004 中設定 CRL 檢查
-
若要啟動 ISA Server 管理,請按一下 [ 開始],指向 [所有程式],指向 [Microsoft ISA Server],然後按一下 [ISA Server 管理]。
-
展開您的 ISA Server,展開 [ 設定],然後按一下 [ 一般]。
-
在中間窗格中,按一下 [指定憑證撤銷]。
-
按一下以選取 [確認傳入的用戶端憑證並未遭到撤銷 ] 核取方塊,然後按一下 [ 確定]。
如何在 ISA Server 2004 上啟用用戶端憑證驗證
-
若要啟動 ISA Server 管理,請按一下 [ 開始],指向 [所有程式],指向 [Microsoft ISA Server],然後按一下 [ISA Server 管理]。
-
展開您的 ISA Server,然後按一下 [防火牆原則]。
-
在中間窗格中,以滑鼠右鍵按一下您要設定的規則,然後按一下 [ 內容]。
-
在 [ 聆聽者] 索引卷 標中,按一下 [ 內容]。
-
在 [ 喜好設定] 索引 標籤中,按一下以選取 [ 啟用 SSL] 核取方塊。
-
按兩次 [確定]。
狀態
Microsoft 已確認<適用於>一節所列的 Microsoft 產品確實有上述問題。