Cómo solucionar problemas relacionados con errores de carga o actualización de la lista de revocación de certificados de Gateway Web
Artículos técnicos ID:
KB83679
Última modificación: 22/10/2021
Resumen
Una lista de revocación de certificados (CRL) hace referencia a los certificados administrados por una autoridad de certificación (CA) revocadas o que ya no son válidas. La lista CRL indica que estos certificados ya no deben considerarse de confianza. Diferentes entidades de certificación host CRL y McAfee no tiene control sobre el acceso a la CRL o a la autoridad de certificación.
Las actualizaciones de CRL se producen como parte del proceso de actualización diario en Gateway Web. Son las únicas actualizaciones que la descarga de Gateway Web McAfee no host.
Debido a la gran cantidad de servidores web diferentes Gateway debe ponerse en contacto para obtener los archivos de CRL, uno o varios servidores pueden estar inactivos o tener problemas para alojar el archivo de lista de revocación de certificados en un momento dado. Cuando se produce este problema, aparecen mensajes de advertencia de nivel de alerta en el panel de Gateway Web. Estas alertas no son graves y raramente requieren interacción administrativa. Si desea determinar por qué fallan las actualizaciones de la CRL, utilice la información de solución de problemas incluida en este artículo.
Problema
Cuando falla una actualización o carga de la CRL, el panel de Gateway Web podría mostrar cualquiera de los siguientes errores:
- An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')
Este error indica que la Gateway web no pudo alcanzar la host definida por la autoridad de certificación para la CRL. En el siguiente error de ejemplo, el host es www. example-URL. dominio. Este error puede indicar que la host está inactiva o que algún dispositivo de red, como un firewall, está bloqueando la conectividad con ella.
- 1 of the recently updated CRLs for the certificate chain filter cannot be loaded (Origin: Certificate Chain Filter, ID: 1651)
Este error indica que la Gateway Web podría conectarse al servidor que alberga la CRL, pero el servidor no devolvió ningún archivo de lista de revocación de certificados. Por ejemplo, la solicitud de la lista CRL solo devolvía un archivo. html.
- Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)
Este error es uno General que suele indicar que la Gateway Web podría conectarse al destino, pero experimentó problemas tras la conexión. Un ejemplo podría ser que el servidor redirija la solicitud de Gateway web para la lista de certificados revocados, pero la nueva ruta proporcionada en el encabezado de ubicación tenga un formato incorrecto.
Solución
Para solucionar los problemas relacionados con la actualización de CRL o la carga de errores, lleve a cabo los pasos siguientes.
- Solucione el error: "An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')"
- Solución de los errores: "1 of the recently updated CRLs for the certificate chain filter cannot be loaded" and "Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)"
Solucione el error: "An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')"
- Identifique la autoridad de certificación cuya lista CRL activó el error.
En la interfaz de usuario de Gateway Web, vaya a Solución, Archivos de registro, mwg-errors, y busque la mwg-coordinator.errors.log que coincida con el marco de tiempo de la advertencia del panel. Una entrada del registro corresponde a la hora de la advertencia del panel. La entrada incluye el URI de CRL completo al que intentó conectarse Gateway Web. Como
Failed to connect to host: 'http://crl.aol.com/AOLMSPKI/aolServerCert.crl' caught exception: 'COSErrException' with errorcode: '101', message:'errno: 101 - 'Network is unreachable
- Comprobar el URI de la CRL.
Utilice el URI de CRL que ha encontrado en el paso 1 e intente recuperar el archivo mediante estos tres métodos:
SEÑALAR Realice la prueba con el navegador web y con Gateway web para ver si el problema es coherente o solo se produce al pasar por la Gateway Web.
- Solicite la URL en un navegador web que no vaya a pasar por Gateway Web.
- Solicite la URL en un navegador web desde fuera de la red.
- Utilice la wget desde su Gateway web para solicitar el archivo. Como
wget http://crl.comodo.net/UTN-USERFIRST.crl
- Examine los resultados.
- Si las tres pruebas fallan, el problema es el servidor que aloja la CRL. Es probable que el servidor de host esté inactivo. Utilice las siguientes directrices:
- Si utiliza una lista de CA conocida local, puede eliminar manualmente el URI de la CRL de esta autoridad de certificación. Una vez eliminado el URI, Gateway web dejará de obtenerlo durante la actualización planificada.
- Si utiliza la lista McAfees mantenidas, abra un caso con Soporte técnico y solicite que McAfee actualizar o elimine la CRL en cuestión. Proporcione un archivo de comentarios (Solución, Tus) y el URI de la CRL. Véase la Información relacionada de este artículo para obtener los detalles de contacto.
- Si A y C falla, es probable que el problema se encuentre en la red, donde un dispositivo de red, como un firewall, está bloqueando la conectividad con el servidor que aloja la CRL.
- Si solo se produce un error en C, el problema probablemente radica en la ruta de red ascendente del Gateway Web.
Solución de los errores: "1 of the recently updated CRLs for the certificate chain filter cannot be loaded" and "Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)"
- Identifique la autoridad de certificación cuya lista CRL activó el error.
En la interfaz de usuario de Gateway Web, vaya a Solución, Archivos de registro, mwg-errors, y busque la mwg-coordinator.errors.log que coincida con el marco de tiempo de la advertencia del panel. Una entrada del registro corresponde a la hora de la advertencia del panel. La entrada incluye una referencia al URI de la CRL. Como
Failed to download file: 'UTN-USERFirst-NetworkApplications.crl'.
- Busque el URI de la CRL en su lista de autoridad de certificación conocida (local o McAfee de mantenimiento).
- Si utiliza la lista McAfees mantenidas, puede buscar en la lista en Políticas, Listas, Listas suscritas, Autoridad de certificación, CA conocidas (McAfee mantenidas). Utilice el campo filtro para buscar el URI de la CRL que ha encontrado en el paso 1.
- Si utiliza una lista de mantenimiento local, puede buscar en la lista en: Políticas, Listas, Listas personalizadas, Autoridad de certificación. Busque el URI de la CRL que ha encontrado en el paso 1.
- Comprobar el URI de la CRL.
Utilice el URI de CRL de la autoridad de certificación que encontró en el paso 2 e intente recuperar el archivo mediante estos dos métodos:
- Solicite la URL en el navegador web.
- Utilice la wget desde su Gateway web y solicite el archivo. Este método es preferible porque el navegador local puede ver resultados distintos a los Gateway Web. La Gateway web es la entidad que intenta descargar el archivo. Como
wget http://crl.comodo.net/UTN-USERFIRST.crl
- Examine los resultados.
Si la CRL está disponible, el navegador descarga un archivo. CRL del servidor Web.
- La descarga correcta del archivo. CRL indica que no existe ningún problema con el servidor que aloja la. CRL. Si puede descargar correctamente la lista de certificados revocados desde su navegador y Gateway Web, pero sigue viendo el error en su panel, siga estos pasos:
- Compruebe que no hay otra CRL que active la advertencia. Consulte el paso 1.
- Abrir un caso con Soporte técnico y proporcionar un archivo de comentarios (Solución, Tus). Véase la Información relacionada de este artículo para obtener los detalles de contacto.
- Si lo hace necesariamente recibir un archivo. CRL, existe un problema con el servidor que aloja el archivo o la ubicación del URI de la CRL ha cambiado. En este caso, podría redirigirse a otra página web o descargar un archivo. html en su lugar. En este caso, la Gateway web no podía procesar el archivo. CRL y notificaría el error. Si está necesariamente puede descargar la lista de certificados revocados desde su navegador y Gateway Web, siga estos pasos de corrección:
- Si utiliza una lista de CA conocida local, puede eliminar manualmente el URI de la CRL de esta autoridad de certificación. Una vez eliminado el URI, Gateway web dejará de obtenerlo durante la actualización planificada.
- Si utiliza la lista McAfees mantenidas, abra un caso con Soporte técnico y solicite que McAfee actualizar o elimine la CRL en cuestión. Proporcione un archivo de comentarios (Solución, Tus) y el URI de la CRL. Véase la Información relacionada de este artículo para obtener los detalles de contacto.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
|