Comment résoudre les Web Gateway Erreurs de chargement ou de mise à jour de la liste de révocation de certificats
Articles techniques ID:
KB83679
Date de la dernière modification : 2022-07-11 12:47:23 Etc/GMT
Synthèse
Une liste de révocation de certificats (CRL) fait référence à des certificats managés par une autorité de certification (CA) révoquée ou qui ne sont plus valides. La liste de révocation de certificats indique que ces certificats ne doivent plus être considérés comme approuvés. Différentes listes de révocation de certificats d’hôte, et nous ne contrôlons pas l’accès à la liste de révocation de certificats ou à la CA.
Les mises à jour de la liste de révocation de certificats sont effectuées dans le cadre du processus de mise à jour quotidienne sur WG. Ce sont les seules mises à jour que les téléchargements WG ne sont pas hébergés par nous.
En raison des nombreux serveurs Web que WG doit contacter pour obtenir les fichiers de liste de révocation de certificats, un ou plusieurs serveurs peuvent être inactifs ou rencontrer des problèmes d’hébergement de la fichier de liste de révocation de certificats à un moment donné. Lorsque ce problème se produit, des messages d’avertissement de niveau d’alerte s’affichent sur votre tableau de bord WG. Ces alertes ne sont pas graves et requièrent rarement une interaction avec l’administrateur. Si vous souhaitez déterminer la raison de l’échec des mises à jour de la liste de révocation de certificats, reportez-vous aux informations de dépannage de cet article.
Pour réduire la surcharge administrative liée à la gestion de ces alertes et de ces listes de révocation de certificats, nous vous recommandons d’implémenter notre liste d’autorités de certification connue dans votre configuration WG. Nous mettons régulièrement à jour cette liste. Pour mettre en œuvre cette liste gérée, suivez les étapes décrites dans KB83780-comment créer une liste d’autorités de certification connues gérée par McAfee.
Problème
En cas d’échec de la mise à jour ou du chargement d’une liste de révocation de certificats, le tableau de bord WG peut afficher les erreurs suivantes :
- An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')
Cette erreur indique que WG ne peut pas atteindre l’hôte défini par l’autorité de certification pour la liste de révocation de certificats. Dans l’exemple d’erreur ci-dessus, l’hôte est www.example-URL.domain . Cette erreur indique également que l’hôte est en panne ou qu’un équipement réseau, tel qu’un pare-feu, bloque la connectivité à ce dernier.
- 1 of the recently updated CRLs for the certificate chain filter cannot be loaded (Origin: Certificate Chain Filter, ID: 1651)
Cette erreur indique que WG peut se connecter au serveur qui héberge la liste de révocation de certificats, mais que le serveur ne renvoie pas de fichier de liste de révocation de certificats. Par exemple, la demande de la liste de révocation de certificats renvoie uniquement un .html fichier.
- Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)
Il s’agit généralement d’une erreur générale qui indique généralement que WG peut se connecter à la destination, mais rencontre des problèmes après la connexion. Par exemple, le serveur redirige la demande WG pour la liste de révocation de certificats, mais le nouveau chemin fourni dans l’en-tête d’emplacement est malformé.
Solution
Pour résoudre les erreurs de mise à jour de liste de révocation de certificats ou d’échec de chargement, procédez comme suit.
- Corrigez l’erreur : "An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')"
- Résoudre les erreurs : "1 of the recently updated CRLs for the certificate chain filter cannot be loaded" and "Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)"
Corrigez l’erreur : "An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')"
- Identifiez l’autorité de certification dont la liste de révocation de certificats déclenche une erreur.
Dans l’interface utilisateur WG, accédez à Dépannage, fichiers journaux, mwg-errors et recherchez le mwg-coordinator.errors.log qui correspond à la période de l’avertissement dans votre tableau de bord. Une entrée du journal correspond à l’heure de l’avertissement dans le tableau de bord. L’entrée inclut l’URI de la liste de révocation de certificats complète à laquelle WG tente de se connecter. Exemple :
Failed to connect to host: 'http://crl.aol.com/AOLMSPKI/aolServerCert.crl' caught exception: 'COSErrException' with errorcode: '101', message:'errno: 101 - 'Network is unreachable
- Tester l’URI de la liste de révocation de certificats.
Utilisez l’URI de la liste de révocation de certificats trouvée à l’étape 1 et essayez de récupérer le fichier à l’aide des trois méthodes suivantes :
Remarque : Testez à la fois le navigateur Web et WG pour vérifier si le problème persiste ou ne se produit qu’en passant par WG.
- Demandez l’URL dans un navigateur Web qui ne passe pas par WG.
- Demandez l’URL dans un navigateur Web hors de votre réseau.
- Pour demander le fichier, utilisez la wget commande de votre fichier WG. Exemple :
wget http://crl.comodo.net/UTN-USERFIRST.crl
- Examinez les résultats.
- Si les trois tests échouent, le problème est lié au serveur hébergeant la liste de révocation de certificats. L’hôte du serveur est probablement inactif. Dans ce cas, suivez les instructions ci-dessous :
- Si vous utilisez une liste d’autorités de certification locale connue, vous pouvez supprimer manuellement l’URI de la liste de révocation de certificats de cette autorité de certification. Une fois l’URI supprimé, WG ne l’extrait plus lors de sa mise à jour planifiée.
- Si vous utilisez notre liste conservée, ouvrez un incident avec Support technique et demandez-nous de mettre à jour ou de supprimer la liste de révocation de certificats en question. Fournissez un fichier Commentaires (Dépannage, Commentaires) et l’URI de la liste de révocation de certificats. Pour en savoir plus, reportez-vous à la section "informations connexes" de cet article.
- Si les étapes a et c échouent, le problème est probablement lié à votre réseau, où un équipement réseau, tel qu’un pare-feu, bloque la connectivité au serveur hébergeant la liste de révocation de certificats.
- Si seule l’étape c échoue, le problème est probablement lié au chemin d’accès réseau en amont de la page WG.
Résoudre les erreurs : "1 of the recently updated CRLs for the certificate chain filter cannot be loaded" and "Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)"
- Identifiez l’autorité de certification dont la liste de révocation de certificats déclenche une erreur.
Dans l’interface utilisateur WG, accédez à Dépannage, fichiers journaux, mwg-errors et recherchez le mwg-coordinator.errors.log qui correspond à la période de l’avertissement dans votre tableau de bord. Une entrée du journal correspond à l’heure de l’avertissement dans le tableau de bord. L’entrée contient une référence à l’URI de la liste de révocation de certificats. Exemple :
Failed to download file: 'UTN-USERFirst-NetworkApplications.crl'.
- Recherchez votre liste d’autorités de certification connue (locale ou notre liste de gestion) pour l’URI de la liste de révocation de certificats.
- Si vous utilisez notre liste gérée, vous pouvez effectuer une recherche dans la liste, dans la stratégie, les listes, les listes souscrites, l' autorité de certification, les autorités de certification connues (McAfee gérées). Utilisez le champ filtre pour Rechercher l’URI de la liste de révocation de certificats trouvée à l’étape 1.
- Si vous utilisez une liste gérée localement, vous pouvez effectuer une recherche dans la liste à l’adresse : stratégie, listes, listes personnalisées, autorité de certification. Recherchez l’URI de la liste de révocation de certificats trouvée à l’étape 1.
- Tester l’URI de la liste de révocation de certificats.
Utilisez l’URI de la liste de révocation de certificats de l’autorité de certification trouvée à l’étape 2 et essayez de récupérer le fichier à l’aide des deux méthodes suivantes :
- Demandez l’URL dans votre navigateur Web.
- Utilisez la wget commande de votre fichier WG et demandez le fichier. Cette méthode est préférable, car votre navigateur local peut voir des résultats différents de ceux de l’équipement WG. WG est l’entité qui tente de télécharger le fichier. Exemple :
wget http://crl.comodo.net/UTN-USERFIRST.crl
- Examinez les résultats.
Si la liste de révocation de certificats est disponible, le navigateur télécharge un .crl fichier à partir du serveur Web.
- Si le .crl Téléchargement du fichier a réussi, cela signifie qu’il n’y a pas de problème avec le serveur qui héberge la liste de révocation de certificats. Si vous parvenez à télécharger la liste de révocation de certificats à partir de votre navigateur et de la page WG, mais que l’erreur persiste dans votre tableau de bord, procédez comme suit :
- Vérifiez qu’il n’y a pas d’autre liste de révocation de certificats déclenchant l’avertissement. Reportez-vous à l’étape 1.
- Ouvrez un incident avec Support technique et fournissez un fichier Commentaires (Dépannage, Commentaires). Pour en savoir plus, reportez-vous à la section "informations connexes" de cet article.
- Si vous ne recevez pas de .crl fichier, cela signifie qu’il y a un problème avec le serveur qui héberge le fichier ou que l’emplacement de l’URI de la liste de révocation de certificats a changé. Dans ce cas, vous pouvez être redirigé vers une autre page Web ou télécharger un .html fichier à la place. De plus, WG ne peut pas traiter le .crl fichier et signale l’erreur.
Si vous ne parvenez pas à télécharger la liste de révocation de certificats à partir de votre navigateur et de la WG, suivez les étapes de correction suivantes :
- Si vous utilisez une liste d’autorités de certification locale connue, vous pouvez supprimer manuellement l’URI de la liste de révocation de certificats de cette autorité de certification. Une fois l’URI supprimé, WG ne l’extrait plus lors de sa mise à jour planifiée.
- Si vous utilisez notre liste conservée, ouvrez un incident avec Support technique et demandez-nous de mettre à jour ou de supprimer la liste de révocation de certificats en question. Fournissez un fichier Commentaires (Dépannage, Commentaires) et l’URI de la liste de révocation de certificats. Pour en savoir plus, reportez-vous à la section "informations connexes" de cet article.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
|