Причина

При проверке подлинности сертификатов сертификаты сервера и клиента проверяются на основе списка отзыва сертификатов. Если этот список просрочен, либо сертификат присутствует в списке отозванных сертификатов, Forefront TMG предпримет попытку обновить список. Правило системной политики, разрешающее Forefront TMG загружать список отзыва сертификатов, отключено по умолчанию.

Решение

Чтобы для проверки сертификатов использовался допустимый, обновленный список отзыва, включите правило системной политики путем включения группы настройки системной политики загрузки списка отзыва сертификатов.

При нажатии кнопки «Да» группа настройки загрузки списка и соответствующее правило системной политики автоматически обновляются.

Либо выполните следующие действия.

  • В редакторе системной политики включите группу настройки системной политики загрузки списка отзыва сертификатов.

Обратите внимание: это правило системной политики разрешает HTTP-трафик из сети локального узла во все сети. Рекомендуется ужесточить данную системную политику и вместо параметра «Все сети» указать только те узлы, которые необходимы для запроса списков отзыва сертификатов, требуемых конкретной конфигурацией SSL.

Загрузка списков отзыва может также осуществляться с использованием других протоколов, например LDAP или FTP. Узел загрузки списков отзыва и протокол, используемый для определенного сертификата, можно посмотреть в свойстве «Точка распределения списка отзыва сертификатов» каждого сертификата.

Если включена проверка списков отзыва сертификатов и Forefront TMG не может получить список, требуемый для проверки, сертификат обрабатывается как отозванный.