執行下列步驟可疑難排解 CRL 更新或載入失敗錯誤。
- 疑難排解錯誤:「An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain」(Origin: Updater, ID: 305, X times within the last X 'time') (發生作業系統錯誤例外情況,並顯示錯誤訊息:連線遭到拒絕,因為集中式更新程式嘗試連線至主機 www.example-URL.domain (來源:更新程式,ID:305,最後 X 'time’ 內發生 X 次))
- 疑難排解錯誤:「1 of the recently updated CRLs for the certificate chain filter cannot be loaded」(無法為憑證鏈篩選器載入其中一個最近更新過的 CRL) 及「Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)」(無法為節點 xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME) 下載憑證鏈篩選器 (來源:更新程式,ID:1652))
疑難排解錯誤:「An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')」(發生作業系統錯誤例外情況,並顯示錯誤訊息:連線遭到拒絕,因為集中式更新程式嘗試連線至主機 www.example-URL.domain (來源:更新程式,ID:305,最後 X 'time’ 內發生 X 次))
- 找出其 CRL 觸發錯誤的憑證授權單位。
在 Web Gateway UI 中,移至 Troubleshooting (疑難排解)、Log files (記錄檔)、mwg-errors,並找到符合儀表板中警告時間範圍的 mwg-coordinator.errors.log。記錄中會有一個項目符合儀表板中警告的時間。該項目會包含 Web Gateway 曾嘗試連線的完整 CRL URI。範例:
無法連線至主機:「http://crl.aol.com/AOLMSPKI/aolServerCert.crl」,偵測到例外情況:「COSErrException」,錯誤碼:「101」,訊息:「錯誤號碼:101 - 網路無法連線」
- 測試 CRL URI。
使用您在步驟 1 中找到的 CRL URI,並嘗試使用以下這三種方法取出檔案:
附註:確定您已透過網頁瀏覽器與 Web Gateway 測試,瞭解問題是否仍存在,或只有經過 Web Gateway 時才會發生。
- 在未經過 Web Gateway 的網頁瀏覽器中請求 URL。
- 在您網路外部的網頁瀏覽器中請求 URL。
- 在 Web Gateway 使用 wget 命令請求檔案:範例:
wget http://crl.comodo.net/UTN-USERFIRST.crl
- 檢查結果。
- 如果三項測試皆失敗,則問題會是代管 CRL 的伺服器。伺服器主機可能停機。請使用下列指示:
- 如果您正使用已知的本機 CA 清單,您可以手動將 CRL URI 從此憑證授權單位移除。在移除 URI 後,Web Gateway 在其已排程更新期間將不再擷取 URI。
- 如果您正使用 McAfee 維護的清單,請向技術支援開啟案例,然後請求 McAfee 更新或移除有問題的 CRL。提供回饋檔案 (選取 Troubleshooting (疑難排解)、Feedback (回饋)) 及 CRL URI。如需詳細的連絡資料,請參閱本文的<相關資訊>一節。
- 如果 A 與 C 失敗,則問題可能在您的網路內,其中的網路裝置 (例如防火牆) 正對代管 CRL 的伺服器封鎖連線。
- 如果只有 C 失敗,則問題可能在 Web Gateway 的網路路徑上游。
疑難排解錯誤:「1 of the recently updated CRLs for the certificate chain filter cannot be loaded」(無法為憑證鏈篩選器載入其中一個最近更新過的 CRL) 及「Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)」(無法為節點 xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME) 下載憑證鏈篩選器 (來源:更新程式,ID:1652))
- 找出其 CRL 觸發錯誤的憑證授權單位。
在 Web Gateway UI 中,移至 Troubleshooting (疑難排解)、Log files (記錄檔)、mwg-errors,並找到符合儀表板中警告時間範圍的 mwg-coordinator.errors.log。記錄中會有一個項目符合儀表板中警告的時間。該項目包含 CRL URI 的參照。範例:
無法下載檔案:「UTN-USERFirst-NetworkApplications.crl」。
- 在已知的憑證授權單位清單 (本機或 McAfee 維護的) 中搜尋 CRL URI。
- 如果您正在使用 McAfee 維護的清單,您可以在 Policy (原則)、Lists (清單)、Subscribed Lists (訂閱清單)、Certificate Authority (憑證授權單位)、Known CAs (McAfee Maintained) (已知 CA (由 McAfee 維護)) 中搜尋清單。使用篩選欄位搜尋您在步驟 1 中找到的 CRL URI。
- 如果您正在使用本機維護的清單,您可以依序選取 Policy (原則)、Lists (清單)、Custom Lists (自訂清單)、Certificate Authority (憑證授權單位)。搜尋在步驟 1 找到的 CRL URI。
- 測試 CRL URI。
使用您在步驟 2 中從憑證授權單位找到的 CRL URI,並嘗試使用以下這兩種方法取出檔案:
- 在網頁瀏覽器中請求 URL。
- 在 Web Gateway 使用 wget 命令並請求檔案:這是優先使用的方法,因為您的本機瀏覽器可能會看到與 Web Gateway 不同的結果;Web Gateway 是嘗試下載檔案的實體。範例:
wget http://crl.comodo.net/UTN-USERFIRST.crl
- 檢查結果。
如果有可用的 CRL,瀏覽器應會從 Web 伺服器下載 .crl 檔案。
- 若成功下載 .crl 檔案,這表示代管 .crl 的伺服器沒有問題。如果您能夠成功地從瀏覽器和 Web Gateway 下載 CRL,但仍在儀表板中看到錯誤,請使用以下步驟:
- 確認沒有其他的 CRL 正在觸發警告:請參閱步驟 1。
- 向技術支援開啟案例,並提供回饋檔案 (依序選取 Troubleshooting (疑難排解)、Feedback (回饋))。 如需詳細的連絡資料,請參閱本文的<相關資訊>一節。
- 如果您未收到 .crl 檔案,則表示代管檔案的伺服器有問題,或是 CRL URI 的位置已變更。在此狀況下,可能會將您重新導向至另一個網頁,或改為下載 .html 檔案。在此狀況下,Web Gateway 無法處理 .crl 檔案並會報告錯誤。如果您無法從瀏覽器與 Web Gateway 下載 CRL,請遵循以下的修補步驟:
- 如果您正使用已知的本機 CA 清單,您可以手動將 CRL URI 從此憑證授權單位移除。在移除 URI 後,Web Gateway 在其已排程更新期間將不再擷取 URI。
- 如果您正使用 McAfee 維護的清單,請向技術支援開啟案例,然後請求 McAfee 更新或移除有問題的 CRL。提供回饋檔案 (選取 Troubleshooting (疑難排解)、Feedback (回饋)) 及 CRL URI。 如需詳細的連絡資料,請參閱本文的<相關資訊>一節。
