Clients erhalten die Fehlermeldung „500 Server“, wenn ein Webserver eine Zertifikatssperrliste in ISA Server 2004 erfordert – Microsoft-Support

Clients erhalten die Fehlermeldung „500 Server", wenn ein Webserver in ISA Server 2004 eine Zertifikatssperrliste erfordert

Symptome

Wenn Sie Microsoft Internet Security and Acceleration (ISA) Server 2004 verwenden, um eine SSL-Website (Secure Sockets Layer) eines Webservers zu veröffentlichen, erhalten Clients möglicherweise die folgende Fehlermeldung:

Fehlercode: 500 Interner Serverfehler. Das Zertifikat wird widerrufen. (-2146885616)

Ursache

Dieses Problem tritt auf, wenn die folgenden Bedingungen zutreffen:

• Zertifikatsperrlistenprüfungen (CRL) sind in ISA Server 2004 aktiviert. Weitere Informationen zum Aktivieren von CRL-Prüfungen in ISA Server 2004 finden Sie im Abschnitt „Weitere Informationen" weiter unten in diesem Artikel.

• Die SSL-Client-Zertifikatauthentifizierung ist in der Web-Publishing-Regel aktiviert. Weitere Informationen zum Aktivieren der SSL-Clientzertifikatauthentifizierung in ISA Server 2004 finden Sie im Abschnitt „Weitere Informationen" weiter unten in diesem Artikel.

• Das Stammzertifikat, von dem das SSL-Serverzertifikat auf den ISA Server 2004-Weblistenern abgeleitet ist, verfügt über keine CRL-Verteilungspunkte. Weitere Informationen dazu, wie Sie überprüfen können, ob das Stammzertifikat über keine CRL-Verteilungspunkte verfügt, finden Sie im Abschnitt „Weitere Informationen" weiter unten in diesem Artikel.

Auflösung

Informationen zum Service Pack

Um dieses Problem zu beheben, besorgen Sie sich das neueste Service Pack für Internet Security und AccelerationServer 2004 und installieren Sie es.

Problemumgehung

Um dieses Problem zu umgehen, laden Sie die CRL manuell herunter und installieren Sie sie dann im Zertifikatspeicher des lokalen Computers.



Hinweis Da die CRL nur für eine begrenzte Zeit gültig ist, müssen Sie regelmäßig eine neue CRL abrufen.



Führen Sie die folgenden Schritte aus, um eine CRL im Zertifikatspeicher des lokalen Computers zu installieren:

1. Melden Sie sich am Computer als Mitglied der lokalen Administratorengruppe an.
   

2. Öffnen Sie das Zertifikate-Snap-In für das Computerkonto. Gehen Sie dazu folgendermaßen vor:
   

   1. Klicken Sie auf Start , dann auf Ausführen , geben Sie mmc ein und klicken Sie dann auf OK .
      

   2. Klicken Sie im Menü „Datei" auf „Snap-In hinzufügen/entfernen" . Das Dialogfeld „Snap-In hinzufügen/entfernen" wird angezeigt.
      

   3. Klicken Sie auf der Registerkarte „Standalone" auf „Hinzufügen" . Das Dialogfeld „Eigenständiges Snap-In hinzufügen" wird angezeigt.
      

   4. Klicken Sie in der Liste „Verfügbare eigenständige Snap-Ins" auf „Zertifikate" und dann auf „Hinzufügen" .
      

   5. Klicken Sie auf Computerkonto und dann auf Weiter .
      

   6. Klicken Sie auf Lokaler Computer und dann auf Fertig stellen .
      

   7. Klicken Sie auf Schließen und dann auf OK .

3. Erweitern Sie Zertifikate , klicken Sie mit der rechten Maustaste auf Zwischenzertifizierungsstellen , klicken Sie auf Alle Aufgaben und dann auf Importieren .

4. Befolgen Sie die Anweisungen des Assistenten, um die Installation abzuschließen.

Mehr Informationen

So überprüfen Sie, ob das Stammzertifikat keine CRL-Verteilungspunkte hat

1. Klicken Sie auf Start , dann auf Ausführen , geben Sie mmc ein und klicken Sie dann auf OK .

2. Klicken Sie im Menü „Datei" auf „Snap-In hinzufügen/entfernen" .

3. Klicken Sie auf Hinzufügen , auf Zertifikate , auf Hinzufügen , auf Computerkonto , auf Weiter , auf Fertig stellen , auf Schließen und dann auf OK .

4. Erweitern Sie Zertifikate , klicken Sie auf Vertrauenswürdige Stammzertifizierungsstellen und dann auf Zertifikate .

5. Doppelklicken Sie auf das Stammzertifikat Ihrer Zertifikatskette, von der das ISA Server 2004 SSL Server-Zertifikat stammt.

6. Überprüfen Sie auf der Registerkarte „Details" , dass das Feld „CRL-Verteilungspunkte" nicht verfügbar ist.
   
   

So konfigurieren Sie CRL-Prüfungen in ISA Server 2004

1. Um die ISA Server-Verwaltung zu starten, klicken Sie auf „ Start" , zeigen Sie auf „Alle Programme" , zeigen Sie auf „Microsoft ISA Server" und klicken Sie dann auf „ISA Server-Verwaltung" .

2. Erweitern Sie Ihren ISA Server, erweitern Sie Konfiguration und klicken Sie dann auf Allgemein .

3. Klicken Sie im mittleren Bereich auf „Zertifikatsperrung angeben" .

4. Aktivieren Sie das Kontrollkästchen „Überprüfen, ob eingehende Clientzertifikate nicht widerrufen werden" und klicken Sie dann auf „OK" .

So aktivieren Sie die Clientzertifikatauthentifizierung auf ISA Server 2004

1. Um die ISA Server-Verwaltung zu starten, klicken Sie auf „ Start" , zeigen Sie auf „Alle Programme" , zeigen Sie auf „Microsoft ISA Server" und klicken Sie dann auf „ISA Server-Verwaltung" .

2. Erweitern Sie Ihren ISA-Server und klicken Sie dann auf Firewall-Richtlinie .
   

3. Klicken Sie im mittleren Bereich mit der rechten Maustaste auf die Regel, die Sie konfigurieren möchten, und klicken Sie dann auf Eigenschaften .

4. Klicken Sie auf der Registerkarte „Listener" auf „Eigenschaften" .
   

5. Klicken Sie auf der Registerkarte „Einstellungen" und aktivieren Sie dann das Kontrollkästchen „SSL aktivieren" .

6. Klicken Sie zweimal auf OK .

Status

Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Gilt für" aufgeführt sind.