Come risolvere i problemi Web Gateway di aggiornamento dell'elenco di revoche di certificati o errori di caricamento
Articoli tecnici ID:
KB83679
Ultima modifica: 11/07/2022
Riepilogo
Un elenco di revoche di certificati (CRL) fa riferimento ai certificati gestiti da un'autorità di certificazione (CA) revocata o non più valida. Il CRL indica che questi certificati non devono più essere considerati affidabili. Diversi CAs host CRL e non disponiamo di controllo sull'accesso al CRL o all'autorità di certificazione.
Gli aggiornamenti CRL si verificano come parte del processo di aggiornamento giornaliero su WG. Sono gli unici aggiornamenti che i WG scaricano che non sono stati ospitati da noi.
A causa dei molti diversi server Web che il WG deve contattare per ottenere i file CRL, uno o più server possono essere indesiderati o avere problemi nell'ospitare il file CRL in un determinato momento. Quando si verifica questo problema, nella dashboard di WG vengono visualizzati messaggi di avviso a livello di avviso. Questi avvisi non sono seri e richiedono raramente un'interazione amministrativa. Se si desidera determinare il motivo per cui gli aggiornamenti CRL non sono riusciti, consultare le informazioni sulla risoluzione dei problemi in questo articolo.
Problema
Quando un aggiornamento CRL o un carico non riesce, la dashboard WG potrebbe visualizzare uno dei seguenti errori:
- An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')
Questo errore indica che WG non è in grado di raggiungere il host definito dall'autorità di certificazione per il CRL. Nell'esempio di errore riportato sopra, il host è www.example-URL.domain . Questo errore indica inoltre che l'host è inattiva o che alcuni dispositivi di rete, ad esempio un firewall, bloccano la connettività.
- 1 of the recently updated CRLs for the certificate chain filter cannot be loaded (Origin: Certificate Chain Filter, ID: 1651)
Questo errore indica che il WG è in grado di connettersi al server che ospita il CRL, ma il server non restituisce un file CRL. Ad esempio, la richiesta per il CRL restituisce solo un .html file.
- Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)
Si tratta di un errore generale che indica in genere che il WG può connettersi alla destinazione, ma che si verificano problemi dopo la connessione. Un esempio è che il server reindirizza la richiesta WG per il CRL, ma il nuovo percorso fornito nell'intestazione percorso non è corretto.
Soluzione
Per risolvere i problemi relativi all'aggiornamento CRL o agli errori di caricamento, attenersi alla seguente procedura.
- Risoluzione dei problemi relativi all'errore: "An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')"
- Risoluzione dei problemi relativi agli errori: "1 of the recently updated CRLs for the certificate chain filter cannot be loaded" and "Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)"
Risoluzione dei problemi relativi all'errore: "An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')"
- Identifica l'autorità di certificazione il cui CRL attiva l'errore.
Nell'interfaccia utente di WG, accedere alla sezione risoluzione dei problemi, ai filemwg-errors di registro e trovare il mwg-coordinator.errors.log corrispondente al lasso di tempo dell'avviso nella dashboard. Una voce nel registro corrisponde all'ora dell'avviso nella dashboard. La voce include l'URI CRL completo a cui WG tenta di connettersi. Esempio:
Failed to connect to host: 'http://crl.aol.com/AOLMSPKI/aolServerCert.crl' caught exception: 'COSErrException' with errorcode: '101', message:'errno: 101 - 'Network is unreachable
- Verificare l'URI del CRL.
Utilizzare l'URI CRL trovato al passaggio 1 e provare a recuperare il file utilizzando i seguenti tre metodi:
Nota: Verifica con il browser Web e il WG per verificare se il problema rimane coerente o se si verifica solo quando si passa attraverso il WG.
- Richiedere l'URL in un browser Web che non sta attraversando il WG.
- Richiedere l'URL in un browser Web dall'esterno della rete.
- Per richiedere il file, utilizzare il wget comando dal WG. Esempio:
wget http://crl.comodo.net/UTN-USERFIRST.crl
- Esaminare i risultati.
- Se tutti e tre i test non riescono, il problema si verifica con il server che ospita il CRL. È probabile che il server host sia in calo. In questi casi, utilizzare la seguente guida:
- Se si utilizza un elenco CA noto locale, è possibile rispostare manualmente l'URI CRL da questa CA. Dopo la rimozione dell'URI, WG non lo recupera più durante l'aggiornamento pianificato.
- Se si utilizza l'elenco gestito, aprire un caso con Assistenza tecnica e richiedere di aggiornare o rispostare il CRL in questione. Fornire un file di feedback (risoluzione dei problemi, Commenti) e l'URI del CRL. Per i dettagli di contatto, consultare la sezione informazioni relative al "" di questo articolo.
- Se i passaggi a e c non riescono, il problema probabilmente risiede nella rete in cui un dispositivo di rete, ad esempio un firewall, blocca la connettività al server che ospita il CRL.
- Se solo il passaggio c non riesce, il problema probabilmente risiede nel percorso di rete a Monte del WG.
Risoluzione dei problemi relativi agli errori: "1 of the recently updated CRLs for the certificate chain filter cannot be loaded" and "Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)"
- Identifica l'autorità di certificazione il cui CRL attiva l'errore.
Nell'interfaccia utente di WG, accedere alla sezione risoluzione dei problemi, ai filemwg-errors di registro e trovare il mwg-coordinator.errors.log corrispondente al lasso di tempo dell'avviso nella dashboard. Una voce nel registro corrisponde all'ora dell'avviso nella dashboard. La voce include un riferimento all'URI del CRL. Esempio:
Failed to download file: 'UTN-USERFirst-NetworkApplications.crl'.
- Cerca nell'elenco CA noto (locale o nell'elenco gestito) l'URI del CRL.
- Se si utilizza l'elenco gestito, è possibile cercare nell'elenco le policy, gli elenchi, gli elenchi sottoscritti, l' autorità di certificazione, le CA note (McAfee mantenute). Utilizzare il campo filtro per cercare l'URI del CRL trovato al passaggio 1.
- Se si utilizza un elenco gestito localmente, è possibile eseguire una ricerca nell'elenco all'indirizzo: policy, elenchi, elenchi personalizzati, autorità di certificazione. Cercare l'URI del CRL trovato al passaggio 1.
- Verificare l'URI del CRL.
Utilizzare l'URI CRL dalla CA trovata al passaggio 2 e provare a recuperare il file utilizzando i due metodi seguenti:
- Richiedere l'URL nel browser Web.
- Utilizzare il wget comando dal WG e richiedere il file. Questo metodo è preferibile perché il browser locale potrebbe avere risultati diversi rispetto a WG. WG è l'entità che tenta di download il file. Esempio:
wget http://crl.comodo.net/UTN-USERFIRST.crl
- Esaminare i risultati.
Se il CRL è disponibile, il browser scarica un .crl file dal server Web.
- Un download di successo del .crl file indica che non si è verificato un problema con il server che ospita il. CRL. Se è possibile download il CRL dal browser e dal gruppo di WG, ma si continua a visualizzare l'errore nella dashboard, attenersi alla seguente procedura:
- Verificare che non sia presente alcun altro CRL che attiva l'avviso. Consultare il passaggio 1.
- Aprire un caso con Assistenza tecnica e fornire un file di feedback (risoluzione dei problemi, feedback). Per i dettagli di contatto, consultare la sezione informazioni relative al "" di questo articolo.
- Se non si riceve un .crl file, si è verificato un problema con il server che ospita il file o se il percorso dell'URI del CRL è stato modificato. In questi casi, è possibile che venga reindirizzato a un'altra pagina Web o download un .html file. Inoltre, il WG non è in grado di elaborare il .crl file e segnala l'errore.
Se non si è in grado di download il CRL dal browser e dal WG, attenersi alla seguente procedura Remediation:
- Se si utilizza un elenco CA noto locale, è possibile rispostare manualmente l'URI CRL da questa CA. Dopo la rimozione dell'URI, WG non lo recupera più durante l'aggiornamento pianificato.
- Se si utilizza l'elenco gestito, aprire un caso con Assistenza tecnica e richiedere di aggiornare o rispostare il CRL in questione. Fornire un file di feedback (risoluzione dei problemi, Commenti) e l'URI del CRL. Per i dettagli di contatto, consultare la sezione informazioni relative al "" di questo articolo.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
|