Come risolvere i problemi relativi all'aggiornamento dell'elenco di revoche di certificati Web Gateway o agli errori di caricamento
Articoli tecnici ID:
KB83679
Ultima modifica: 22/10/2021
Riepilogo
Un elenco di revoche di certificati (CRL) fa riferimento ai certificati gestiti da un'autorità di certificazione (CA) revocata o non più valida. Il CRL indica che questi certificati non devono più essere considerati affidabili. Diversi CAs host CRL e McAfee non dispone di controllo sull'accesso al CRL o all'autorità di certificazione.
Gli aggiornamenti CRL si verificano come parte del processo di aggiornamento giornaliero sul Gateway Web. Sono gli unici aggiornamenti che i download di Web Gateway McAfee non host.
A causa dei molti server Web diversi Gateway devono contattare per ottenere i file CRL, uno o più server possono essere indesiderati o avere problemi di hosting del file CRL in un determinato momento. Quando si verifica questo problema, i messaggi di avviso a livello di avviso vengono visualizzati nella dashboard Web Gateway. Questi avvisi non sono seri e richiedono raramente un'interazione amministrativa. Se si desidera determinare il motivo per cui gli aggiornamenti CRL non sono riusciti, utilizzare le informazioni per la risoluzione dei problemi in questo articolo.
Problema
Quando un aggiornamento CRL o un carico non riesce, la dashboard Web Gateway potrebbe visualizzare uno dei seguenti errori:
- An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')
Questo errore indica che Gateway Web non ha potuto raggiungere il host definito dall'autorità di certificazione per il CRL. Nell'esempio di errore riportato sopra, il host è www. example-URL. Domain. Questo errore può indicare che l'host è inattiva o che alcuni dispositivi di rete, ad esempio un firewall, bloccano la connettività.
- 1 of the recently updated CRLs for the certificate chain filter cannot be loaded (Origin: Certificate Chain Filter, ID: 1651)
Questo errore indica che Gateway Web potrebbe connettersi al server che ospita il CRL, ma il server non ha restituito un file CRL. Ad esempio, la richiesta per il CRL ha restituito solo un file. html.
- Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)
Si tratta di un errore generale che indica in genere che Gateway Web potrebbe connettersi alla destinazione, ma problemi riscontrati dopo la connessione. Un esempio potrebbe essere che il server reindirizza la richiesta di Gateway Web per il CRL, ma il nuovo percorso fornito nell'intestazione della posizione non è corretto.
Soluzione
Per risolvere i problemi relativi all'aggiornamento CRL o agli errori di caricamento, attenersi alla seguente procedura.
- Risoluzione dei problemi relativi all'errore: "An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')"
- Risoluzione dei problemi relativi agli errori: "1 of the recently updated CRLs for the certificate chain filter cannot be loaded" and "Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)"
Risoluzione dei problemi relativi all'errore: "An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')"
- Identificare l'autorità di certificazione il cui CRL ha attivato l'errore.
Nell'interfaccia utente di Gateway Web, accedere a Risoluzione dei problemi, File di registro, mwg-errorse trovare il mwg-coordinator.errors.log che corrisponde all'intervallo di tempo dell'avviso nella dashboard. Una voce nel registro corrisponde all'ora dell'avviso nella dashboard. La voce include l'URI CRL completo a cui il Web Gateway ha tentato di connettersi. Esempio
Failed to connect to host: 'http://crl.aol.com/AOLMSPKI/aolServerCert.crl' caught exception: 'COSErrException' with errorcode: '101', message:'errno: 101 - 'Network is unreachable
- Verificare l'URI del CRL.
Utilizzare l'URI CRL trovato al passaggio 1 e provare a recuperare il file utilizzando i seguenti tre metodi:
Nota Eseguire il test con il browser Web e con Gateway Web per verificare se il problema rimane coerente o se si verifica solo quando si passa attraverso il Gateway Web.
- Richiedere l'URL in un browser Web che non sta attraversando il Gateway Web.
- Richiedere l'URL in un browser Web dall'esterno della rete.
- Utilizzare il wget comando dal Gateway Web per richiedere il file. Esempio
wget http://crl.comodo.net/UTN-USERFIRST.crl
- Esaminare i risultati.
- Se tutti e tre i test non riescono, il problema è il server che ospita il CRL. È probabile che il server host sia in calo. Utilizzare la seguente guida:
- Se si utilizza un elenco di CA noto locale, è possibile rimuovere manualmente l'URI del CRL da questa autorità di certificazione. Dopo la rimozione dell'URI, il Web Gateway non lo recupererà più durante l'aggiornamento pianificato.
- Se si utilizza l'elenco McAfee-mantenuto, aprire un caso con Assistenza tecnica e richiedere che McAfee aggiornare o rimuovere il CRL in questione. Fornire un file di feedback (Risoluzione dei problemi, Commenti) e l'URI del CRL. Consultare il Informazioni correlate sezione di questo articolo per i dettagli di contatto.
- Se A e C non riescono, il problema probabilmente risiede nella rete in cui un dispositivo di rete, ad esempio un firewall, blocca la connettività al server che ospita il CRL.
- Se solo C non riesce, il problema probabilmente risiede nel percorso di rete a Monte del Gateway Web.
Risoluzione dei problemi relativi agli errori: "1 of the recently updated CRLs for the certificate chain filter cannot be loaded" and "Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)"
- Identificare l'autorità di certificazione il cui CRL ha attivato l'errore.
Nell'interfaccia utente di Gateway Web, accedere a Risoluzione dei problemi, File di registro, mwg-errorse trovare il mwg-coordinator.errors.log che corrisponde all'intervallo di tempo dell'avviso nella dashboard. Una voce nel registro corrisponde all'ora dell'avviso nella dashboard. La voce include un riferimento all'URI del CRL. Esempio
Failed to download file: 'UTN-USERFirst-NetworkApplications.crl'.
- Cerca nell'elenco di autorità di certificazione noto (locale o McAfee-mantenuto) l'URI del CRL.
- Se si utilizza l'elenco di McAfee-maintained, è possibile effettuare una ricerca nell'elenco all'indirizzo Politica, Elenchi, Elenchi sottoscritti, Autorità di certificazione, CAs note (McAfee mantenute). Utilizzare il campo filtro per cercare l'URI del CRL trovato al passaggio 1.
- Se si utilizza un elenco gestito localmente, è possibile eseguire una ricerca nell'elenco all'indirizzo: Politica, Elenchi, Elenchi personalizzati, Autorità di certificazione. Cercare l'URI del CRL trovato nel passaggio 1.
- Verificare l'URI del CRL.
Utilizzare l'URI CRL dall'autorità di certificazione trovata nel passaggio 2 e provare a recuperare il file utilizzando i due metodi seguenti:
- Richiedere l'URL nel browser Web.
- Utilizzare il wget comando dal Gateway Web e richiedere il file. Questo metodo è preferibile perché il browser locale potrebbe avere risultati diversi rispetto a Gateway Web. Gateway Web è l'entità che tenta di download il file. Esempio
wget http://crl.comodo.net/UTN-USERFIRST.crl
- Esaminare i risultati.
Se il CRL è disponibile, il browser scarica un file. CRL dal server Web.
- Un download di esito positivo del file. CRL indica che non si è verificato alcun problema con il server che ospita il. CRL. Se è possibile download il CRL dal browser e dal Gateway Web, ma si continua a visualizzare l'errore nella dashboard, attenersi alla seguente procedura:
- Verificare che non vi sia un altro CRL che attiva l'avviso. Consultare il passaggio 1.
- Aprire un caso con Assistenza tecnica e fornire un file di feedback (Risoluzione dei problemi, Commenti). Consultare il Informazioni correlate sezione di questo articolo per i dettagli di contatto.
- In caso di non ricezione di un file. CRL, si è verificato un problema con il server che ospita il file o se il percorso dell'URI del CRL è stato modificato. In questo caso, è possibile che venga reindirizzato a un'altra pagina Web o download un file. html. In questo caso, Web Gateway non è in grado di elaborare il file. CRL e segnala l'errore. Se si è non in grado di download il CRL dal browser e dal Gateway Web, attenersi alla seguente procedura remediation:
- Se si utilizza un elenco di CA noto locale, è possibile rimuovere manualmente l'URI del CRL da questa autorità di certificazione. Dopo la rimozione dell'URI, il Web Gateway non lo recupererà più durante l'aggiornamento pianificato.
- Se si utilizza l'elenco McAfee-mantenuto, aprire un caso con Assistenza tecnica e richiedere che McAfee aggiornare o rimuovere il CRL in questione. Fornire un file di feedback (Risoluzione dei problemi, Commenti) e l'URI del CRL. Consultare il Informazioni correlate sezione di questo articolo per i dettagli di contatto.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
|