Fehlerbehebung bei Aktualisierungs- oder Ladefehlern der Web Gateway-Zertifikatsperrliste
Technische Artikel ID:
KB83679
Zuletzt geändert am: 2021-10-22 14:11:31 Etc/GMT
Zuletzt geändert am: 2021-10-22 14:11:31 Etc/GMT
Umgebung
McAfee Web Gateway (MWG) 7.3 und höher
Zusammenfassung
Eine Zertifikatsperrliste (Certificate Revocation List, CRL) bezieht sich auf die von einer Zertifizierungsstelle (Certificate Authority, CA) verwalteten Zertifikate, die widerrufen wurden oder nicht mehr gültig sind. Die CRL gibt an, dass diese Zertifikate nicht mehr als vertrauenswürdig eingestuft werden dürfen. CRLs werden von verschiedenen CAs gehostet, und McAfee hat keine Kontrolle über den Zugriff auf die CRL oder die CA.
CRL-Aktualisierungen finden im Rahmen des täglichen Aktualisierungsvorgangs in Web Gateway statt; hierbei handelt es sich um die einzigen von Web Gateway heruntergeladenen Aktualisierungen, die nicht von McAfee gehostet werden.
Angesichts der großen Anzahl von Web-Servern, die von Web Gateway zum Abrufen der CRL-Dateien kontaktiert werden müssen, ist es nicht ungewöhnlich, dass einer oder mehrere dieser Server inaktiv sind oder zum gegebenen Zeitpunkt Probleme mit dem Hosten der CRL-Datei haben. In einem solchen Fall werden im Web Gateway-Dashboard Warnmeldungen vom Typ "Warnung" ausgegeben. Diese Warnungen sind nicht schwerwiegend und erfordern nur selten das Eingreifen eines Administrators. Wenn Sie den Grund für das Fehlschlagen der CRL-Aktualisierungen ermitteln möchten, befolgen Sie die in diesem Artikel beschriebenen Fehlerbehebungsverfahren.
Zur Verringerung des administrativen Aufwands beim Verwalten dieser Warnungen und der CRLs empfiehlt es sich, die von McAfee gepflegte Liste der bekannten CAs in der Web Gateway-Konfiguration implementieren. Diese Liste wird von McAfee regelmäßig aktualisiert. Befolgen Sie zum Implementieren dieser gepflegten Liste die in KB83780 erläuterten Schritte.
Problem
Wenn ein CRL-Aktualisierungs- oder Ladevorgang fehlschlägt, wird im Web Gateway-Dashboard eine der folgenden Fehlermeldungen ausgegeben:
- An operating system error exception occurred with error message: Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time') (Es ist ein Betriebssystem-Ausnahmefehler mit der folgenden Fehlermeldung aufgetreten: Verbindung verweigert, weil das zentrale Aktualisierungsprogramm versucht hat, eine Verbindung mit dem Host www.example-URL.domain herzustellen (Ursprung: Aktualisierungsprogramm, ID: 305, X Mal innerhalb der letzten X 'Zeit'))
Dieser Fehler bedeutet, dass Web Gateway den von der Zertifizierungsstelle für die CRL definierten Host nicht erreichen konnte. In der oben angegebenen Beispielfehlermeldung ist der Host "www.example-URL.domain". Diese Fehlermeldung kann z. B. bedeuten, dass der Host ausgefallen ist oder dass ein Netzwerkgerät (z. B. eine Firewall) die Verbindung blockiert. - 1 of the recently updated CRLs for the certificate chain filter cannot be loaded (Origin: Certificate Chain Filter, ID: 1651) (1 der kürzlich aktualisierten CRLs für den Zertifikatskettenfilter kann nicht geladen werden (Ursprung: Zertifikatskettenfilter, ID: 1651))
Dieser Fehler bedeutet, dass Web Gateway eine Verbindung mit dem Server herstellen konnte, der die CRL hostet; der Server jedoch keine CRL-Datei zurückgegeben hat. Ein Beispiel: Auf die Anforderung der CRL wurde nur eine HTML-Datei zurückgegeben. - Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME) (Origin: Updater, ID: 1652) (Der Zertifikatskettenfilter konnte nicht für den Knoten xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME) heruntergeladen werden (Ursprung: Aktualisierungsprogramm, ID: 1652))
Dies ist eine allgemeine Fehlermeldung, die in der Regel bedeutet, dass Web Gateway eine Verbindung mit dem Ziel herstellen konnte, anschließend jedoch Probleme aufgetreten sind. Ein Beispiel: Der Server leitet die Web Gateway-Anfrage für die CRL um, der im Adress-Header angegebene neue Pfad ist jedoch ungültig.
Lösung
Führen Sie zur Behebung von CRL-Aktualisierungs- oder Ladefehlern folgende Schritte aus.
- Beheben des Fehlers: "An operating system error exception occurred with error message: Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time') (Es ist ein Betriebssystem-Ausnahmefehler mit der folgenden Fehlermeldung aufgetreten: Verbindung verweigert, weil das zentrale Aktualisierungsprogramm versucht hat, eine Verbindung mit dem Host www.example-URL.domain herzustellen (Ursprung: Aktualisierungsprogramm, ID: 305, X Mal innerhalb der letzten X 'Zeit'))"
- Beheben der Fehler: "1 of the recently updated CRLs for the certificate chain filter cannot be loaded" (1 der kürzlich aktualisierten CRLs für den Zertifikatskettenfilter kann nicht geladen werden) und "Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME) (Origin: Updater, ID: 1652)" (Der Zertifikatskettenfilter konnte nicht für den Knoten xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME) heruntergeladen werden (Ursprung: Aktualisierungsprogramm, ID: 1652))
Beheben des Fehlers: "An operating system error exception occurred with error message: Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time') (Es ist ein Betriebssystem-Ausnahmefehler mit der folgenden Fehlermeldung aufgetreten: Verbindung verweigert, weil das zentrale Aktualisierungsprogramm versucht hat, eine Verbindung mit dem Host www.example-URL.domain herzustellen (Ursprung: Aktualisierungsprogramm, ID: 305, X Mal innerhalb der letzten X 'Zeit'))"
- Ermitteln Sie die Zertifizierungsstelle, deren CRL den Fehler ausgelöst hat.
- Testen Sie den CRL-URI.
- Fordern Sie die URL in einem Web-Browser an, bei dem der Datenverkehr nicht über Web Gateway geleitet wird.
- Fordern Sie die URL in einem Web-Browser an, der sich nicht innerhalb Ihres Netzwerks befindet.
- Fordern Sie die Datei mithilfe des Befehls "wget" in Web Gateway an. Beispiel:
- Untersuchen Sie die Ergebnisse.
- Wenn alle drei Tests fehlschlagen, liegt das Problem beim Server, der die CRL hostet. Der Host-Server ist wahrscheinlich nicht in Betrieb. Gehen Sie wie folgt vor:
- Wenn Sie eine lokale Liste bekannter CAs verwenden, können Sie den CRL-URI manuell aus dieser Zertifizierungsstelle entfernen. Nachdem Sie den URI entfernt haben, wird er von Web Gateway während der geplanten Aktualisierung nicht mehr abgerufen.
- Wenn Sie die von McAfee gepflegte Liste verwenden, eröffnen Sie einen Fall beim technischen Support, und bitten Sie McAfee, die betreffende CRL zu aktualisieren oder zu entfernen. Übermitteln Sie eine Feedback-Datei (Troubleshooting (Fehlerbehebung), Feedback) und den CRL-URI. Die entsprechenden Kontaktdaten finden Sie im Abschnitt Themenbezogene Informationen dieses Artikels.
- Wenn die Vorgehensweisen A und C fehlschlagen, liegt das Problem wahrscheinlich in Ihrem Netzwerk, in dem ein Netzwerkgerät (z. B. eine Firewall) die Verbindung mit dem Server blockiert, der die CRL hostet.
- Wenn nur C fehlschlägt, liegt das Problem wahrscheinlich im Netzwerkpfad hinter Web Gateway.
- Wenn alle drei Tests fehlschlagen, liegt das Problem beim Server, der die CRL hostet. Der Host-Server ist wahrscheinlich nicht in Betrieb. Gehen Sie wie folgt vor:
Beheben der Fehler: "1 of the recently updated CRLs for the certificate chain filter cannot be loaded" (1 der kürzlich aktualisierten CRLs für den Zertifikatskettenfilter kann nicht geladen werden) und "Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME) (Origin: Updater, ID: 1652)" (Der Zertifikatskettenfilter konnte nicht für den Knoten xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME) heruntergeladen werden (Ursprung: Aktualisierungsprogramm, ID: 1652))
- Ermitteln Sie die Zertifizierungsstelle, deren CRL den Fehler ausgelöst hat.
- Suchen Sie in der Liste der bekannten Zertifizierungsstellen (lokal oder von McAfee gepflegt) nach dem CRL-URI.
- Wenn Sie die von McAfee gepflegte Liste verwenden, können Sie die Liste unter Policy (Richtlinie), Lists (Listen), Subscribed Lists (Abonnierte Listen), Certificate Authority (Zertifizierungsstelle), Known CAs (McAfee Maintained) (Bekannte CAs (von McAfee gepflegt)) durchsuchen. Suchen Sie mithilfe des Filterfelds nach dem in Schritt 1 ermittelten CRL-URI.
- Wenn Sie eine lokal verwaltete Liste verwenden, können Sie die Liste unter Policy (Richtlinie), Lists (Listen), Custom Lists (Benutzerdefinierte Listen), Certificate Authority (Zertifizierungsstelle) durchsuchen. Suchen Sie nach dem in Schritt 1 ermittelten CRL-URI.
- Testen Sie den CRL-URI.
- Rufen Sie die URL im Web-Browser auf.
- Fordern Sie die Datei mit dem Befehl "wget" in Web Gateway an. Dies ist die bevorzugte Methode, da im lokalen Browser möglicherweise andere Ergebnisse als in Web Gateway (die Einheit, die versucht, die Datei herunterzuladen) erzielt werden. Beispiel:
- Untersuchen Sie die Ergebnisse.
- Das erfolgreiche Herunterladen der CRL-Datei beweist, dass kein Problem bei dem Server vorliegt, der die CRL-Datei hostet. Wenn Sie die CRL-Datei sowohl über den Browser als auch über Web Gateway erfolgreich herunterladen können, der Fehler im Dashboard jedoch immer noch angezeigt wird, führen Sie die folgenden Schritte aus:
- Vergewissern Sie sich, dass die Warnung von keiner anderen CRL-Datei ausgelöst wird. Siehe Schritt 1.
- Eröffnen Sie einen Fall beim technischen Support, und übermitteln Sie eine Feedback-Datei (Troubleshooting (Fehlerbehebung), Feedback). Die entsprechenden Kontaktdaten finden Sie im Abschnitt Themenbezogene Informationen dieses Artikels.
- Wenn Sie keine CRL-Datei erhalten, liegt ein Problem mit dem Server vor, der die Datei hostet, oder die Adresse des CRL-URI hat sich geändert. In diesem Fall werden Sie möglicherweise auf eine andere Webseite umgeleitet, oder es wird stattdessen eine HTML-Datei heruntergeladen. Web Gateway könnte die CRL-Datei dann nicht verarbeiten und würde einen Fehler melden. Wenn Sie die CRL-Datei nicht über den Browser und auch nicht über Web Gateway herunterladen können, führen Sie die folgenden Schritte zur Behebung des Problems aus:
- Wenn Sie eine lokale Liste bekannter CAs verwenden, können Sie den CRL-URI manuell aus dieser Zertifizierungsstelle entfernen. Nachdem Sie den URI entfernt haben, wird er von Web Gateway während der geplanten Aktualisierung nicht mehr abgerufen.
- Wenn Sie die von McAfee gepflegte Liste verwenden, eröffnen Sie einen Fall beim technischen Support, und bitten Sie McAfee, die betreffende CRL zu aktualisieren oder zu entfernen. Übermitteln Sie eine Feedback-Datei (Troubleshooting (Fehlerbehebung), Feedback) und den CRL-URI. Die entsprechenden Kontaktdaten finden Sie im Abschnitt Themenbezogene Informationen dieses Artikels.
- Das erfolgreiche Herunterladen der CRL-Datei beweist, dass kein Problem bei dem Server vorliegt, der die CRL-Datei hostet. Wenn Sie die CRL-Datei sowohl über den Browser als auch über Web Gateway erfolgreich herunterladen können, der Fehler im Dashboard jedoch immer noch angezeigt wird, führen Sie die folgenden Schritte aus:
Themenbezogene Informationen
So eröffnen Sie einen Fall beim technischen Support:
Zur Kontaktierung des technischen Supports melden Sie sich beim ServicePortal an und rufen dort die Seite "Service-Anfrage erstellen" unter https://supportm.trellix.com/ServicePortal/faces/serviceRequests/createSR auf:
- Wenn Sie sich bereits registriert haben, geben Sie Ihre Benutzer-ID und Ihr Kennwort ein, und klicken Sie dann auf Anmelden.
- Wenn Sie sich noch nicht registriert haben, klicken Sie auf Registrieren, und füllen Sie die erforderlichen Felder aus. Ihr Kennwort und die Anleitung zur Anmeldung erhalten Sie per E-Mail.
Haftungsausschluss
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.
Betroffene Produkte
Sprachen:
Dieser Artikel ist in folgenden Sprachen verfügbar: