Comment résoudre les erreurs de chargement ou de mise à jour de la liste de révocation de certificats Gateway Web
Articles techniques ID:
KB83679
Date de la dernière modification : 22/10/2021
Synthèse
Une liste de révocation de certificats (CRL) fait référence à des certificats managés par une autorité de certification qui sont révoqués ou qui ne sont plus valides. La liste de révocation de certificats indique que ces certificats ne doivent plus être considérés comme approuvés. Différentes listes de révocation de certificats d’hôte de CAs et McAfee ne contrôle pas l’accès à la liste de révocation de certificats ou à l’autorité de certification.
Les mises à jour de la liste de révocation de certificats ont lieu dans le cadre du processus de mise à jour quotidienne sur les Gateway Web. Il s’agit des seules mises à jour que Web Gateway télécharge McAfee n’héberge pas.
Etant donné les nombreux serveurs Web différents Gateway Web doivent contacter pour obtenir les fichiers de liste de révocation de certificats, un ou plusieurs serveurs peuvent être inactifs ou rencontrer des problèmes d’hébergement du fichier de liste de révocation de certificats à un moment donné. Lorsque ce problème se produit, des messages d’avertissement de niveau d’alerte s’affichent sur votre tableau de bord Gateway Web. Ces alertes ne sont pas graves et requièrent rarement une interaction avec l’administrateur. Si vous souhaitez déterminer la raison de l’échec des mises à jour de la liste de révocation de certificats, utilisez les informations de dépannage de cet article.
Pour réduire la surcharge administrative liée à la gestion de ces alertes et de ces listes de révocation de certificats, McAfee vous recommande d’implémenter la liste des autorités de certification connues gérée par McAfee dans votre configuration de Gateway Web. McAfee met régulièrement à jour cette liste. Pour mettre en œuvre cette liste gérée, suivez les étapes décrites dans : KB83780-comment créer une liste d’autorités de certification connues gérée par McAfee.
Problème
Lorsqu’une mise à jour ou un chargement d’une liste de révocation de certificats échoue, le tableau de bord Gateway Web peut afficher l’une des erreurs suivantes :
- An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')
Cette erreur indique que Web Gateway n’a pas pu atteindre l’hôte défini par l’autorité de certification pour la liste de révocation de certificats. Dans l’exemple d’erreur ci-dessus, l’hôte est www. example-URL. domain. Cette erreur peut indiquer que l’hôte est en panne ou que certains équipements réseau, tels qu’un pare-feu, bloquent la connectivité à celui-ci.
- 1 of the recently updated CRLs for the certificate chain filter cannot be loaded (Origin: Certificate Chain Filter, ID: 1651)
Cette erreur indique que Web Gateway peut se connecter au serveur qui héberge la liste de révocation de certificats, mais que le serveur n’a pas renvoyé de fichier de liste de révocation de certificats. Par exemple, la demande pour la liste de révocation de certificats renvoyait uniquement un fichier. html.
- Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)
Il s’agit d’une erreur générale qui indique généralement que les Gateway Web peuvent se connecter à la destination, mais que des problèmes ont été rencontrés suite à la connexion. Par exemple, le serveur redirige la demande Web Gateway pour la liste de révocation de certificats, mais le nouveau chemin fourni dans l’en-tête d’emplacement est malformé.
Solution
Pour résoudre les erreurs de mise à jour de liste de révocation de certificats ou d’échec de chargement, procédez comme suit.
- Corrigez l’erreur : "An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')"
- Résoudre les erreurs : "1 of the recently updated CRLs for the certificate chain filter cannot be loaded" and "Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)"
Corrigez l’erreur : "An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')"
- Identifiez l’autorité de certification dont la liste de révocation de certificats a déclenché l’erreur.
Dans l’interface utilisateur du Gateway Web, accédez à Procédures, Fichiers journaux, mwg-errorset recherchez le mwg-coordinator.errors.log correspondant à la période de l’avertissement dans votre tableau de bord. Une entrée du journal correspond à l’heure de l’avertissement dans le tableau de bord. L’entrée inclut l’URI de la liste de révocation de certificats complète à laquelle la Gateway Web a essayé de se connecter. Comment
Failed to connect to host: 'http://crl.aol.com/AOLMSPKI/aolServerCert.crl' caught exception: 'COSErrException' with errorcode: '101', message:'errno: 101 - 'Network is unreachable
- Tester l’URI de la liste de révocation de certificats.
Utilisez l’URI de la liste de révocation de certificats que vous avez trouvé à l’étape 1 et essayez de récupérer le fichier à l’aide des trois méthodes suivantes :
Veuillez Testez à la fois le navigateur Web et le Gateway Web pour voir si le problème persiste ou ne se produit qu’en cas de Gateway Web.
- Demandez l’URL dans un navigateur Web qui ne passe pas par le Web Gateway.
- Demandez l’URL dans un navigateur Web hors de votre réseau.
- Utilisez la wget de votre Gateway Web pour demander le fichier. Comment
wget http://crl.comodo.net/UTN-USERFIRST.crl
- Examinez les résultats.
- Si les trois tests échouent, le problème est lié au serveur hébergeant la liste de révocation de certificats. L’hôte du serveur est probablement inactif. Suivez les instructions ci-dessous :
- Si vous utilisez une liste d’autorités de certification locale connue, vous pouvez supprimer manuellement l’URI de la liste de révocation de certificats de cette autorité de certification. Une fois l’URI supprimé, Web Gateway ne l’extrait plus lors de sa mise à jour planifiée.
- Si vous utilisez la liste de McAfee-gérée, ouvrez un incident avec Support technique et demandez à McAfee mettre à jour ou de supprimer la liste de révocation de certificats en question. Fournissez un fichier Commentaires (Procédures, Nos) et l’URI de la liste de révocation de certificats. Consultez la section Informations connexes de cet article pour en savoir plus sur les coordonnées.
- Si A et C échouent, le problème est probablement lié à votre réseau, car un équipement réseau, tel qu’un pare-feu, bloque la connectivité au serveur hébergeant la liste de révocation de certificats.
- Si seul C échoue, le problème est probablement lié au chemin d’accès réseau en amont du Gateway Web.
Résoudre les erreurs : "1 of the recently updated CRLs for the certificate chain filter cannot be loaded" and "Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)"
- Identifiez l’autorité de certification dont la liste de révocation de certificats a déclenché l’erreur.
Dans l’interface utilisateur du Gateway Web, accédez à Procédures, Fichiers journaux, mwg-errorset recherchez le mwg-coordinator.errors.log correspondant à la période de l’avertissement dans votre tableau de bord. Une entrée du journal correspond à l’heure de l’avertissement dans le tableau de bord. L’entrée contient une référence à l’URI de la liste de révocation de certificats. Comment
Failed to download file: 'UTN-USERFirst-NetworkApplications.crl'.
- Recherchez dans la liste d’autorités de certification (locale ou McAfee-conservée) de l’URI de la liste de révocation de certificats.
- Si vous utilisez la liste gérée par le McAfee, vous pouvez effectuer une recherche dans la liste à l’adresse Approvisionnement, Tarifs, Listes souscrites, Autorité de certification, Autorités de certification connues (McAfee gérées). Utilisez le champ filtre pour Rechercher l’URI de liste de révocation de certificats que vous avez trouvé à l’étape 1.
- Si vous utilisez une liste gérée localement, vous pouvez effectuer une recherche dans la liste à l’adresse : Approvisionnement, Tarifs, Listes personnalisées, Autorité de certification. Recherchez l’URI de liste de révocation de certificats que vous avez trouvé à l’étape 1.
- Tester l’URI de la liste de révocation de certificats.
Utilisez l’URI de la liste de révocation de certificats de l’autorité de certification que vous avez identifiée à l’étape 2 et essayez de récupérer le fichier à l’aide des deux méthodes suivantes :
- Demandez l’URL dans votre navigateur Web.
- Utilisez la wget à partir de votre Gateway Web et demander le fichier. Cette méthode est préférée, car votre navigateur local peut voir des résultats différents de ceux du Gateway Web. Le Gateway Web est l’entité qui tente de télécharger le fichier. Comment
wget http://crl.comodo.net/UTN-USERFIRST.crl
- Examinez les résultats.
Si la liste de révocation de certificats est disponible, le navigateur télécharge un fichier. crl à partir du serveur Web.
- Un téléchargement réussi du fichier. crl indique qu’il n’y a pas de problème avec le serveur qui héberge la liste de révocation de certificats. Si vous parvenez à télécharger la liste de révocation de certificats à partir de votre navigateur et de votre Gateway Web, mais que l’erreur persiste dans votre tableau de bord, procédez comme suit :
- Vérifiez qu’aucune autre liste de révocation de certificats ne déclenche l’avertissement. Reportez-vous à l’étape 1.
- Ouvrez un incident avec Support technique et fournissez un fichier Commentaires (Procédures, Nos). Consultez la section Informations connexes de cet article pour en savoir plus sur les coordonnées.
- Si vous ne existant recevoir un fichier. crl, un problème est survenu avec le serveur qui héberge le fichier, ou l’emplacement de l’URI de la liste de révocation de certificats a changé. Dans ce cas, vous pouvez être redirigé vers une autre page Web ou télécharger un fichier. html à la place. Dans ce cas, Web Gateway n’a pas pu traiter le fichier. crl et signale l’erreur. Si vous êtes existant en mesure de télécharger la liste de révocation de certificats à partir de votre navigateur et de votre Gateway Web, suivez les étapes de correction suivantes :
- Si vous utilisez une liste d’autorités de certification locale connue, vous pouvez supprimer manuellement l’URI de la liste de révocation de certificats de cette autorité de certification. Une fois l’URI supprimé, Web Gateway ne l’extrait plus lors de sa mise à jour planifiée.
- Si vous utilisez la liste de McAfee-gérée, ouvrez un incident avec Support technique et demandez à McAfee mettre à jour ou de supprimer la liste de révocation de certificats en question. Fournissez un fichier Commentaires (Procédures, Nos) et l’URI de la liste de révocation de certificats. Consultez la section Informations connexes de cet article pour en savoir plus sur les coordonnées.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
|