Cómo solucionar Web Gateway errores de carga o actualización de la lista de revocación de certificados
Artículos técnicos ID:
KB83679
Última modificación: 2022-07-11 12:47:24 Etc/GMT
Resumen
Una lista de revocación de certificados (CRL) hace referencia a los certificados administrados por una autoridad de certificación (CA) revocadas o que ya no son válidas. La lista CRL indica que estos certificados ya no deben considerarse de confianza. Diferentes CA host CRL y no disponemos de control sobre el acceso a la CRL o la CA.
Las actualizaciones de CRL se producen como parte del proceso de actualización diario en WG. Son las únicas actualizaciones que las descargas de WG no son hospedadas por nosotros.
Debido a los numerosos servidores web diferentes de WG deben ponerse en contacto para obtener los archivos de CRL, uno o varios servidores pueden estar inactivos o tener problemas para alojar el archivo de lista de revocación de certificados en un momento dado. Cuando se produce este problema, aparecen mensajes de advertencia de nivel de alerta en el panel de WG. Estas alertas no son graves y raramente requieren interacción administrativa. Si desea determinar por qué fallan las actualizaciones de la CRL, consulte la información de solución de problemas incluida en este artículo.
Problema
Cuando falla una actualización o carga de la CRL, el panel de WG puede mostrar cualquiera de los siguientes errores:
- An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')
Este error indica que WG no puede alcanzar el host definido por la autoridad de certificación para la CRL. En el siguiente error de ejemplo, el host es www.example-URL.domain . Este error también indica que la host está inactiva o que algún dispositivo de red, como un firewall, está bloqueando la conectividad con ella.
- 1 of the recently updated CRLs for the certificate chain filter cannot be loaded (Origin: Certificate Chain Filter, ID: 1651)
Este error indica que WG puede conectar con el servidor que hospeda la CRL, pero el servidor no devuelve un archivo de lista de revocación de certificados. Por ejemplo, la solicitud de la lista CRL solo devuelve un .html archivo.
- Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)
Este error es uno General que suele indicar que WG se puede conectar al destino, pero experimenta problemas tras la conexión. Un ejemplo es que el servidor redirige la solicitud de WG para la CRL, pero la nueva ruta proporcionada en el encabezado de ubicación tiene un formato incorrecto.
Solución
Para solucionar los problemas relacionados con la actualización de CRL o la carga de errores, lleve a cabo los pasos siguientes.
- Solucione el error: "An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')"
- Solución de los errores: "1 of the recently updated CRLs for the certificate chain filter cannot be loaded" and "Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)"
Solucione el error: "An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')"
- Identifique la CA cuya CRL Active el error.
En la interfaz de usuario de WG, vaya a solución de problemas, archivosmwg-errors de registro y busque el mwg-coordinator.errors.log que coincida con el espacio de tiempo de la advertencia en su panel. Una entrada del registro corresponde a la hora de la advertencia del panel. La entrada incluye el URI de CRL completo con el que WG intenta conectarse. Ejemplo:
Failed to connect to host: 'http://crl.aol.com/AOLMSPKI/aolServerCert.crl' caught exception: 'COSErrException' with errorcode: '101', message:'errno: 101 - 'Network is unreachable
- Comprobar el URI de la CRL.
Utilice el URI de CRL hallado en el paso 1 e intente recuperar el archivo mediante estos tres métodos:
Nota: Pruebe el navegador web y WG para comprobar si el problema es consistente o si se produce solo cuando se pasa a través de WG.
- Solicite la URL en un navegador web que no vaya a utilizar WG.
- Solicite la URL en un navegador web desde fuera de la red.
- Para solicitar el archivo, utilice el wget comando de su WG. Ejemplo:
wget http://crl.comodo.net/UTN-USERFIRST.crl
- Examine los resultados.
- Si las tres pruebas fallan, el problema se encuentra en el servidor que aloja la CRL. Es probable que el servidor de host esté inactivo. En estos casos, utilice las siguientes directrices:
- Si utiliza una lista de CA conocida local, puede eliminar manualmente el URI de la CRL de esta CA. Una vez eliminado el URI, WG ya no lo recupera durante su actualización planificada.
- Si utiliza nuestra lista de mantenimiento, abra un caso con Soporte técnico y solicite que actualicemos o eliminemos la lista de certificados revocados en cuestión. Proporcione un archivo de comentarios (solución de problemas, comentarios) y el URI de la CRL. Consulte la sección "información relacionada" de este artículo para obtener información de contacto.
- Si fallan los pasos a y c, es probable que el problema se encuentre en la red, donde un dispositivo de red, como un firewall, está bloqueando la conectividad con el servidor que aloja la CRL.
- Si solo falla el paso c, es probable que el problema se encuentre en la ruta de red ascendente de WG.
Solución de los errores: "1 of the recently updated CRLs for the certificate chain filter cannot be loaded" and "Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)"
- Identifique la CA cuya CRL Active el error.
En la interfaz de usuario de WG, vaya a solución de problemas, archivosmwg-errors de registro y busque el mwg-coordinator.errors.log que coincida con el espacio de tiempo de la advertencia en su panel. Una entrada del registro corresponde a la hora de la advertencia del panel. La entrada incluye una referencia al URI de la CRL. Ejemplo:
Failed to download file: 'UTN-USERFirst-NetworkApplications.crl'.
- Busque la lista de CA conocida (local o nuestra lista de mantenimiento) para el URI de la CRL.
- Si utiliza nuestra lista de mantenimiento, puede buscar en la lista de directivas, listas, listas suscritas, autoridadde certificación, CA conocidas (McAfee mantenidas). Utilice el campo filtro para buscar el URI de CRL encontrado en el paso 1.
- Si utiliza una lista de mantenimiento local, puede buscar la lista en: Directiva, listas, Listas personalizadas, autoridadde certificación. Busque el URI de la CRL encontrada en el paso 1.
- Comprobar el URI de la CRL.
Utilice el URI de CRL de la CA hallada en el paso 2 e intente recuperar el archivo mediante estos dos métodos:
- Solicite la URL en el navegador web.
- Utilice el wget comando de su WG y solicite el archivo. Este método es preferible porque el navegador local podría ver resultados distintos de WG. WG es la entidad que intenta descargar el archivo. Ejemplo:
wget http://crl.comodo.net/UTN-USERFIRST.crl
- Examine los resultados.
Si la CRL está disponible, el navegador descarga un .crl archivo del servidor Web.
- Una descarga correcta del .crl archivo indica que no existe un problema con el servidor que aloja la. CRL. Si puede descargar correctamente la CRL desde su navegador y WG, pero sigue viendo el error en su panel, siga estos pasos:
- Compruebe que no hay otra CRL que active la advertencia. Consulte el paso 1.
- Abra un caso con Soporte técnico y proporcione un archivo de comentarios (solución de problemas, comentarios). Consulte la sección "información relacionada" de este artículo para obtener información de contacto.
- Si no recibe un .crl archivo, significa que hay un problema con el servidor que aloja el archivo o que la ubicación del URI de la CRL ha cambiado. En estos casos, podría redirigirse a otra página web o descargar un .html archivo en su lugar. Además, WG no puede procesar el .crl archivo e informa del error.
Si no puede descargar la lista de certificados revocados desde su navegador y WG, siga estos pasos de corrección:
- Si utiliza una lista de CA conocida local, puede eliminar manualmente el URI de la CRL de esta CA. Una vez eliminado el URI, WG ya no lo recupera durante su actualización planificada.
- Si utiliza nuestra lista de mantenimiento, abra un caso con Soporte técnico y solicite que actualicemos o eliminemos la lista de certificados revocados en cuestión. Proporcione un archivo de comentarios (solución de problemas, comentarios) y el URI de la CRL. Consulte la sección "información relacionada" de este artículo para obtener información de contacto.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
|