Como solucionar problemas Web Gateway de atualização de lista de revogação de certificados ou erros de carregamento
Artigos técnicos ID:
KB83679
Última modificação: 2022-07-11 12:47:22 Etc/GMT
Resumo
Uma lista de revogação de certificados (CRL) refere-se a certificados gerenciados por uma autoridade de certificação (CA) que são revogados ou que não são mais válidos. A CRL indica que esses certificados não devem mais ser considerados confiáveis. CAs diferentes host CRLs e não temos o controle sobre o acesso à CRL ou à CA.
As atualizações de CRL ocorrem como parte do processo de atualização diário em WG. Eles são as únicas atualizações que o WG faz download que não são hospedados por nós.
Devido aos vários servidores Web diferentes, o WG deve entrar em contato para obter os arquivos da CRL, um ou mais servidores podem estar inativos ou ter problemas para hospedar o arquivo de lista de certificados revogados a qualquer momento. Quando esse problema ocorre, as mensagens de aviso de nível de alerta são exibidas no seu Dashboard WG. Esses alertas não são graves e raramente exigem interação administrativa. Se você quiser determinar por que as atualizações de CRL estão falhando, consulte as informações de solução de problemas neste artigo.
Problema
Quando uma CRL atualização ou um carregamento falha, o painel WG pode exibir qualquer um dos seguintes erros:
- An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')
Esse erro indica que o WG não pode alcançar o host definido pela autoridade de certificação para a lista de certificados revogados. No exemplo de erro acima, a host é www.example-URL.domain . Esse erro também indica que o host está inativo ou que algum dispositivo de rede, como um firewall, está bloqueando a conectividade com ele.
- 1 of the recently updated CRLs for the certificate chain filter cannot be loaded (Origin: Certificate Chain Filter, ID: 1651)
Esse erro indica que a WG pode se conectar ao servidor que hospeda a CRL, mas o servidor não retorna um arquivo de lista de certificados revogados. Por exemplo, a solicitação da lista de certificados revogados retorna apenas um .html arquivo.
- Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)
Esse erro é um general que normalmente indica que o WG pode se conectar ao destino, mas que ocorrem problemas após a conexão. Um exemplo é que o servidor redireciona a solicitação da WG para a CRL, mas o novo caminho fornecido no cabeçalho do local está malformado.
Solução
Para solucionar erros de falha de carga ou de atualização de CRL, execute as etapas a seguir.
- Solucionar o erro: "An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')"
- Solucione os erros: "1 of the recently updated CRLs for the certificate chain filter cannot be loaded" and "Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)"
Solucionar o erro: "An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')"
- Identifique a CA cuja CRL dispara o erro.
Na interface do usuário da WG, vá para solução de problemas, arquivosde mwg-errors registro e localize o mwg-coordinator.errors.log que corresponde ao período aviso no Dashboard. Uma entrada no log corresponde à hora do aviso no Dashboard. A entrada inclui o URI de CRL completo ao qual o WG tenta se conectar. Exemplo:
Failed to connect to host: 'http://crl.aol.com/AOLMSPKI/aolServerCert.crl' caught exception: 'COSErrException' with errorcode: '101', message:'errno: 101 - 'Network is unreachable
- Teste o URI da lista de certificados revogados.
Use o URI de lista de certificados revogados encontrado na etapa 1 e tente recuperar o arquivo usando estes três métodos:
Nota: Teste com o navegador da Web e a WG para verificar se o problema permanece consistente ou ocorre apenas ao passar pela WG.
- Solicite o URL em um navegador da Web que não esteja passando pela WG.
- Solicite o URL em um navegador da Web fora de sua rede.
- Para solicitar o arquivo, use o wget comando de sua WG. Exemplo:
wget http://crl.comodo.net/UTN-USERFIRST.crl
- Examine os resultados.
- Se todos os três testes falharem, o problema será com o servidor que hospeda a lista de certificados revogados. O host do servidor provavelmente está inativo. Nesses casos, use as orientações a seguir:
- Se você estiver usando uma lista de autoridades de certificação locais conhecida, poderá remover manualmente o URI de lista de certificados revogados dessa autoridade de certificação. Depois que o URI for removido, o WG não irá mais obtê-lo durante a atualização programada.
- Se você estiver usando nossa lista mantida, abra um caso com o Suporte técnico e solicite que atualização ou remova a CRL em questão. Forneça um comentários arquivo (solução de problemas, comentários) e o URI de CRL. Consulte a seção "informações relacionadas a" deste artigo para obter detalhes de contato.
- Se as etapas a e c falharem, o problema provavelmente estará dentro da rede em que um dispositivo de rede, como um firewall, está bloqueando a conectividade com o servidor que hospeda a lista de certificados revogados.
- Se apenas a etapa c falhar, o problema provavelmente está dentro do caminho de rede upstream da WG.
Solucione os erros: "1 of the recently updated CRLs for the certificate chain filter cannot be loaded" and "Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)"
- Identifique a CA cuja CRL dispara o erro.
Na interface do usuário da WG, vá para solução de problemas, arquivosde mwg-errors registro e localize o mwg-coordinator.errors.log que corresponde ao período aviso no Dashboard. Uma entrada no log corresponde à hora do aviso no Dashboard. A entrada inclui uma referência ao URI da lista de certificados revogados. Exemplo:
Failed to download file: 'UTN-USERFirst-NetworkApplications.crl'.
- Pesquise a lista de autoridades de certificação conhecida (local ou nossa lista mantida) para o URI de CRL.
- Se estiver usando a lista mantida, você poderá pesquisar a lista em política, listas, listas assinadas, autoridade de certificação, CAS conhecida (McAfee mantida). Use o campo filtro para pesquisar o URI de lista de certificados revogados encontrado na etapa 1.
- Se estiver usando uma lista mantida localmente, você poderá pesquisar na lista em: política, listas, listas personalizadas, autoridade de certificação. Procure o URI da lista de certificados revogados encontrado na etapa 1.
- Teste o URI da lista de certificados revogados.
Use o URI de CRL da autoridade de certificação encontrada na etapa 2 e tente recuperar o arquivo usando estes dois métodos:
- Solicite o URL no seu navegador da Web.
- Use o wget comando de sua WG e solicite o arquivo. Esse método é preferível porque o navegador local pode ver resultados diferentes do WG. WG é a entidade que está tentando download a arquivo. Exemplo:
wget http://crl.comodo.net/UTN-USERFIRST.crl
- Examine os resultados.
Se a lista de certificados revogados estiver disponível, o navegador fará download de um .crl arquivo do servidor da Web.
- Uma download bem-sucedida do .crl arquivo indica que não há um problema com o servidor que hospeda o. CRL. Se você conseguir download com êxito a lista de certificados revogados do seu navegador e da WG, mas ainda estiver vendo o erro no Dashboard, execute estas etapas:
- Verifique se não há outra lista de certificados revogados que esteja disparando o aviso. Consulte a etapa 1.
- Abra um caso com o Suporte técnico e forneça um arquivo comentários (solução de problemas, comentários). Consulte a seção "informações relacionadas a" deste artigo para obter detalhes de contato.
- Se você não receber uma .crl arquivo, há um problema com o servidor que hospeda o arquivo, ou o local do URI da CRL foi alterado. Nesses casos, você pode ser redirecionado para outra página da Web ou download um .html arquivo em vez disso. Além disso, o WG não pode processar o .crl arquivo e relatar o erro.
Se você não conseguir download a lista de certificados revogados do seu navegador e da WG, siga estas etapas de correção:
- Se você estiver usando uma lista de autoridades de certificação locais conhecida, poderá remover manualmente o URI de lista de certificados revogados dessa autoridade de certificação. Depois que o URI for removido, o WG não irá mais obtê-lo durante a atualização programada.
- Se você estiver usando nossa lista mantida, abra um caso com o Suporte técnico e solicite que atualização ou remova a CRL em questão. Forneça um comentários arquivo (solução de problemas, comentários) e o URI de CRL. Consulte a seção "informações relacionadas a" deste artigo para obter detalhes de contato.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
|