Fouten met bijwerken en laden van lijst met ingetrokken certificaten in Web Gateway oplossen
Technische artikelen ID:
KB83679
Laatst gewijzigd: 2021-10-22 14:11:48 Etc/GMT
Laatst gewijzigd: 2021-10-22 14:11:48 Etc/GMT
Omgeving
McAfee Web Gateway (MWG) 7.3 en hoger
Samenvatting
Een lijst met ingetrokken certificaten (Certificate Revocation List - CRL) verwijst naar certificaten die door een certificeringsinstantie (CA) worden beheerd en die zijn ingetrokken of niet meer geldig zijn. De CRL geeft aan dat deze certificaten niet meer als vertrouwd mogen worden beschouwd. CRL's worden door verschillende CA's beheerd. McAfee heeft geen controle over de toegang tot de CRL of de CA.
CRL's worden tijdens het dagelijkse updateproces van Web Gateway bijgewerkt. Dit zijn de enige updates die met Web Gateway worden gedownload en niet door McAfee worden gehost.
Gezien het grote aantal verschillende webservers waarmee Web Gateway contact moet maken om CRL-bestanden op te halen, is het niet ongebruikelijk dat een of meer van deze servers op enig moment vastlopen of problemen hebben met de hosting van het CRL-bestand. Wanneer dat gebeurt, worden berichten met niveau waarschuwing weergegeven op het Web Gateway-dashboard. Deze waarschuwingen zijn niet ernstig en vereisen zelden tussenkomst van beheerders. Lees de informatie in dit artikel over het oplossen van problemen om te bepalen waarom de CRL-updates mislukken.
Om de administratieve overhead die met het beheer van deze waarschuwingen en CRL's gepaard gaat te verminderen, raadt McAfee aan dat u de lijst met bekende CA's die door McAfee wordt beheerd in de Web Gateway-configuratie implementeert. McAfee werkt deze lijst regelmatig bij. Volg de stappen in KB83780 om deze lijst te implementeren.
Probleem
Wanneer het bijwerken of laden van een CRL mislukt, kan een van de volgende foutmeldingen worden weergegeven op het Web Gateway-dashboard:
- An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time') (Er is een besturingssysteemfout (uitzondering) opgetreden met de foutmelding: Verbinding geweigerd, omdat het centrale updateprogramma verbinding probeerde te maken met host www.voorbeeld-URL.domein (Oorsprong: Updater, ID: 305, X keer in de kaatste X 'tijd'))
Deze foutmelding wijst erop dat Web Gateway de host die door de certificeringsinstantie voor de CRL is gedefinieerd niet kan bereiken. In bovenstaande voorbeeldfout is de host www.voorbeeld-URL.domein. Deze fout kan erop wijzen dat de host niet beschikbaar is of dat een netwerkapparaat, zoals een firewall, de verbinding blokkeert. - 1 of the recently updated CRLs for the certificate chain filter cannot be loaded (Origin: Certificate Chain Filter, ID: 1651) (1 van de onlangs bijgewerkte CRL's voor het certificaatketenfilter kan niet worden geladen (Oorsprong: certificaatketenfilter, ID: 1651))
Deze fout wijst erop dat Web Gateway verbinding kan maken met de server waarop de CRL wordt gehost. De server retourneert echter geen CRL-bestand. Het verzoek voor de CRL heeft alleen een HTML-bestand geretourneerd. - Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652) (Het downloaden van certificaatketenfilter voor knooppunt xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME) is mislukt (Oorsprong: updateprogramma, ID: 1652))
Dit is een algemene fout die er gewoonlijk op wijst dat Web Gateway verbinding kan maken met het doel, maar er problemen zijn opgetreden nadat de verbinding tot stand is gebracht. De server leidt het verzoek van Web Gateway voor de CRL bijvoorbeeld om, maar het nieuwe pad in de locatieheader is ongeldig.
Oplossing
Voer de volgende stappen uit om problemen met het bijwerken en laden van CRL's op te lossen.
- De volgende fout oplossen: 'An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')'
- De volgende fouten oplossen: '1 of the recently updated CRLs for the certificate chain filter cannot be loaded' en 'Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)'
De volgende fout oplossen: 'An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')'
- Identificeer de certificeringsinstantie waarvan de CRL de fout heeft veroorzaakt.
- Test de CRL-URI.
- Open de URL in een webbrowser waarvoor geen gebruik wordt gemaakt van Web Gateway.
- Open de URL vanaf een webbrowser buiten uw netwerk.
- Voer de opdracht wget uit vanuit Web Gateway om het bestand op te vragen. Voorbeeld:
- Bestudeer de resultaten.
- Als alle drie de tests mislukken, vormt de server waarmee de CRL wordt gehost het probleem. De serverhost is waarschijnlijk niet beschikbaar. Gebruik de volgende richtlijnen:
- Als u een lokale lijst met bekende CA's gebruikt, kunt u de CRL-URI van deze certificeringsinstantie handmatig verwijderen. Nadat de URI is verwijderd, wordt deze tijdens de geplande update niet meer met Web Gateway opgehaald.
- Als u de door McAfee beheerde lijst gebruikt, vraagt u de technische ondersteuning van McAfee om de betreffende CRL bij te werken of te verwijderen. Verstuur een feedbackbestand (Problemen oplossen, Feedback) en de CRL-URI. Zie het gedeelte Verwante informatie in dit artikel voor contactgegevens.
- Als optie A en C mislukken, vormt een netwerkapparaat binnen uw netwerk (zoals een firewall), waarschijnlijk het probleem, doordat het de verbinding met de server waarop de CRL wordt gehost wordt geblokkeerd.
- Als alleen optie C mislukt, bevindt het probleem zich waarschijnlijk in het netwerkpad stroomopwaarts van Web Gateway.
- Als alle drie de tests mislukken, vormt de server waarmee de CRL wordt gehost het probleem. De serverhost is waarschijnlijk niet beschikbaar. Gebruik de volgende richtlijnen:
De volgende fouten oplossen: '1 of the recently updated CRLs for the certificate chain filter cannot be loaded' en 'Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)'
- Identificeer de certificeringsinstantie waarvan de CRL de fout heeft veroorzaakt.
- Zoek de CRL-URI in de (lokale of door McAfee beheerde) lijst met bekende certificeringsinstanties.
- Als u de door McAfee beheerde lijst gebruikt, kunt u de lijst zoeken via Policy (Beleid), Lists (Lijsten), Subscribed Lists (Geabonneerde lijsten), Certificate Authority (Certificeringsinstantie) en Known CAs (McAfee Maintained) (Bekende CA's (door McAfee beheerd)). Gebruik het veld 'Filter' om de CRL-URI te zoeken die u in stap 1 hebt gevonden.
- Als u een lokaal beheerde lijst gebruikt, kunt u de lijst zoeken via Policy (Beleid), Lists (Lijsten), Custom Lists (Aangepaste lijsten) en Certificate Authority (Certificeringsinstantie). Zoeken naar de CRL-URI die u in stap 1 hebt gevonden.
- Test de CRL-URI.
- Open de URL in de webbrowser.
- Voer de opdracht wget uit vanuit Web Gateway om het bestand op te vragen. Deze methode heeft de voorkeur, omdat uw lokale browser andere resultaten kan opleveren dan Web Gateway, de entiteit die het bestand probeert te downloaden. Voorbeeld:
- Bestudeer de resultaten.
- Als het CRL-bestand wordt gedownload, betekent dit dat er geen probleem is met de server waarop de CRL wordt gehost. Voer de volgende stappen uit als u de CRL via de browser en Web Gateway kunt downloaden, maar de foutmelding nog steeds wordt weergegeven in het dashboard:
- Controleer of de waarschuwing niet door een andere CRL wordt veroorzaakt. Zie stap 1.
- Dien een ondersteuningsverzoek in bij de technische ondersteuning en verstuur een feedbackbestand (Problemen oplossen, Feedback). Zie het gedeelte Verwante informatie in dit artikel voor contactgegevens.
- Als u het CRL-bestand niet ontvangt, is er een probleem met de server waarop het bestand wordt gehost of is de locatie van de CRL-URI gewijzigd. In dat geval wordt u mogelijk omgeleid naar een andere webpagina of wordt een HTML-betand gedownload. In dat geval kan het CRL-bestand niet worden verwerkt met Web Gateway en wordt de fout gemeld. Voer de volgende herstelstappen uit als u de CRL niet via de browser of Web Gateway kunt downloaden:
- Als u een lokale lijst met bekende CA's gebruikt, kunt u de CRL-URI van deze certificeringsinstantie handmatig verwijderen. Nadat de URI is verwijderd, wordt deze tijdens de geplande update niet meer met Web Gateway opgehaald.
- Als u de door McAfee beheerde lijst gebruikt, vraagt u de technische ondersteuning van McAfee om de betreffende CRL bij te werken of te verwijderen. Verstuur een feedbackbestand (Problemen oplossen, Feedback) en de CRL-URI. Zie het gedeelte Verwante informatie in dit artikel voor contactgegevens.
- Als het CRL-bestand wordt gedownload, betekent dit dat er geen probleem is met de server waarop de CRL wordt gehost. Voer de volgende stappen uit als u de CRL via de browser en Web Gateway kunt downloaden, maar de foutmelding nog steeds wordt weergegeven in het dashboard:
Gerelateerde informatie
Een ondersteuningsverzoek indien bij de technische ondersteuning:
Als u contact wilt opnemen met de technische ondersteuning, moet u zich aanmelden bij de ServicePortal en naar de pagina Een serviceaanvraag aanmaken gaan op https://supportm.trellix.com/ServicePortal/faces/serviceRequests/createSR:
- Als u een geregistreerde gebruiker bent, voert u uw gebruikers-id en wachtwoord in en klikt u op Aanmelden.
- Als u nog geen geregistreerde gebruiker bent, klikt u op Registreren en vult u de verplichte velden in. Het wachtwoord en de aanmeldingsinstructies worden u per e-mail toegezonden.
ontkenning
De inhoud van dit artikel is oorspronkelijk in het Engels uitgebracht. Als er verschillen zijn tussen de Engelse inhoud en de vertaling, is de Engelse inhoud altijd het meest accuraat. Een deel van deze inhoud is het resultaat van het gebruik van de machinevertaling van Microsoft.
Betrokken producten
Talen:
Dit artikel is beschikbaar in de volgende talen: