请执行以下步骤进行 CRL 更新或加载失败错误的故障排除。
- 错误故障排除:“An operating system error exception occurred with error message: Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')”
- 错误故障排除:“1 of the recently updated CRLs for the certificate chain filter cannot be loaded”和“Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)”
错误故障排除:“An operating system error exception occurred with error message: Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')”
- 识别其 CRL 触发了该错误的证书颁发机构。
在 Web Gateway UI 中,依次转到 Troubleshooting(故障排除)、Log files(日志文件)、mwg-errors,然后找到与信息显示板中的警告时间范围匹配的 mwg-coordinator.errors.log。日志中会有一个条目与信息显示板中的警告时间相对应。该条目将包含 Web Gateway 尝试连接到的完整 CRL URI。示例:
Failed to connect to host: 'http://crl.aol.com/AOLMSPKI/aolServerCert.crl' caught exception: 'COSErrException' with errorcode: '101', message:'errno: 101 - 'Network is unreachable
- 测试 CRL URI。
使用在步骤 1 中找到的 CRL URI 并尝试通过以下三种方法检索该文件:
注意:请确保使用 Web 浏览器和 Web Gateway 进行测试,以确定该问题是持续出现,还是仅在访问 Web Gateway 时才会出现。
- 在不访问 Web Gateway 的 Web 浏览器中请求 URL。
- 通过网络外部的 Web 浏览器请求 URL。
- 在 Web Gateway 中使用 wget 命令请求文件。示例:
wget http://crl.comodo.net/UTN-USERFIRST.crl
- 检查结果。
- 如果所有三项测试都失败,则问题就在于托管 CRL 的服务器。服务器主机很可能已关闭。参考以下指导:
- 如果您使用的是本地已知的 CA 列表,可以手动从此证书颁发机构中删除 CRL URI。删除 URI 后,Web Gateway 在执行其计划的更新期间不再会提取此 URI。
- 如果您使用的是 McAfee 维护的列表,请向技术支持部门开启一个案例,请求 McAfee 更新或删除有问题的 CRL。提供反馈文件(Troubleshooting(故障排除)、Feedback(反馈))和 CRL URI。请参阅本文的相关信息部分获取联系详细信息。
- 如果 A 和 C 失败,则问题很可能在于网络中的某个网络设备(例如防火墙)阻止了与托管 CRL 的服务器建立连接。
- 如果只有 C 失败,则很可能是 Web Gateway 上游的网络路径出现了问题。
错误故障排除:“1 of the recently updated CRLs for the certificate chain filter cannot be loaded”和“Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)”
- 识别其 CRL 触发了该错误的证书颁发机构。
在 Web Gateway UI 中,依次转到 Troubleshooting(故障排除)、Log files(日志文件)、mwg-errors,然后找到与信息显示板中的警告时间范围匹配的 mwg-coordinator.errors.log。日志中会有一个条目与信息显示板中的警告时间相对应。该条目将包含对 CRL URI 的引用。示例:
Failed to download file: 'UTN-USERFirst-NetworkApplications.crl'.
- 在已知的证书颁发机构列表(本地列表或 McAfee 维护的列表)中搜索 CRL URI。
- 如果您使用的是 McAfee 维护的列表,可以通过依次单击 Policy(策略)、Lists(列表)、Subscribed Lists(已订阅列表)、Certificate Authority(证书颁发机构)Known CAs (McAfee Maintained)(已知 CA(McAfee 维护的))搜索该列表。使用过滤器字段搜索您在步骤 1 中找到的 CRL URI。
- 如果您使用的是本地维护的列表,可以通过依次单击 Policy(策略)、Lists(列表)、Custom Lists(自定义列表)、Certificate Authority(证书颁发机构)搜索该列表。搜索您在步骤 1 中找到的 CRL URI。
- 测试 CRL URI。
使用执行步骤 2 时在证书颁发机构中找到的 CRL URI 并尝试通过以下两种方法检索该文件:
- 在 Web 浏览器中请求 URL。
- 在 Web Gateway 中使用 wget 命令请求文件。这是首选方法,因为本地浏览器上的结果可能与 Web Gateway 上的结果不同,后者是尝试下载文件的实体。示例:
wget http://crl.comodo.net/UTN-USERFIRST.crl
- 检查结果。
如果 CRL 可用,则浏览器应会从 Web 服务器下载 .crl 文件。
- 如果成功下载 .crl 文件,则表示托管 .crl 的服务器没有问题。如果您可以成功地从浏览器和 Web Gateway 下载 CRL,但信息显示板中仍然出现该错误,请采用以下步骤:
- 确认没有其他 CRL 触发警告。请参阅步骤 1。
- 向技术支持部门开启一个案例,并提供反馈文件(Troubleshooting(故障排除)、Feedback(反馈))。 请参阅本文的相关信息相关信息
- 如果您未收到 .crl 文件,则表示托管该文件的服务器有问题,或者 CRL URI 的位置已发生更改。在这种情况下,您可能会重定向到另一个网页,或改为下载 .html 文件。在这种情况下,Web Gateway 将无法处理 .crl 文件,并且会报告错误。如果您无法从浏览器和 Web Gateway 下载 CRL,请遵循以下补救步骤:
- 如果您使用的是本地已知的 CA 列表,可以手动从此证书颁发机构中删除 CRL URI。删除 URI 后,Web Gateway 在执行其计划的更新期间不再会提取此 URI。
- 如果您使用的是 McAfee 维护的列表,请向技术支持部门开启一个案例,请求 McAfee 更新或删除有问题的 CRL。提供反馈文件(Troubleshooting(故障排除)、Feedback(反馈))和 CRL URI。 请参阅本文的相关信息部分获取联系详细信息。