Como solucionar problemas da lista de revogação de certificado do Web Gateway atualização ou erros de carregamento
Artigos técnicos ID:
KB83679
Última modificação: 22/10/2021
Resumo
Uma lista de revogação de certificados (CRL) refere-se a certificados gerenciados por uma autoridade de certificação (CA) que são revogados ou que não são mais válidos. A CRL indica que esses certificados não devem mais ser considerados confiáveis. Diferentes CAs host CRLs e McAfee não têm controle sobre o acesso à CRL ou à autoridade de certificação.
As atualizações de CRL ocorrem como parte do processo de atualização diário no Gateway da Web. Eles são as únicas atualizações que o Gateway da Web faz o download McAfee não host.
Devido aos vários servidores Web diferentes Gateway da Web devem entrar em contato para obter os arquivos da CRL, um ou mais servidores podem estar inativos ou ter problemas para hospedar o arquivo de lista de certificados revogados a qualquer momento. Quando esse problema ocorre, as mensagens de aviso de nível de alerta são exibidas no Dashboard do Gateway na Web. Esses alertas não são graves e raramente exigem interação administrativa. Se você quiser determinar por que as atualizações de CRL estão falhando, use as informações de solução de problemas neste artigo.
Para reduzir a sobrecarga administrativa associada ao gerenciamento desses alertas e listas de certificados revogados, o McAfee recomenda que você implemente a lista de autoridades de certificação conhecidas McAfee em sua configuração de Gateway da Web. O McAfee atualiza essa lista regularmente. Para implementar essa lista mantida, siga as etapas descritas em: KB83780-como criar uma McAfee mantida lista de autoridades de certificação conhecidas.
Problema
Quando uma CRL atualização ou um carregamento falha, o Dashboard Gateway da Web pode exibir qualquer um dos seguintes erros:
- An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')
Esse erro indica que o Gateway da Web não pôde alcançar o host definido pela autoridade de certificação para a lista de certificados revogados. No exemplo de erro acima, o host é www. example-URL. domain. Esse erro pode indicar que o host está inativo ou que algum dispositivo de rede, como um firewall, está bloqueando a conectividade com ele.
- 1 of the recently updated CRLs for the certificate chain filter cannot be loaded (Origin: Certificate Chain Filter, ID: 1651)
Esse erro indica que o Gateway da Web pode se conectar ao servidor que hospeda a CRL, mas o servidor não retornou um arquivo de lista de certificados revogados. Por exemplo, a solicitação da lista de certificados revogados retornou apenas um arquivo. html.
- Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)
Esse erro é um general que normalmente indica que o Gateway da Web pode se conectar ao destino, mas com problemas após a conexão. Um exemplo pode ser o servidor redirecionar a solicitação de Gateway da Web para a CRL, mas o novo caminho fornecido no cabeçalho do local será malformado.
Solução
Para solucionar erros de falha de carga ou de atualização de CRL, execute as etapas a seguir.
- Solucionar o erro: "An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')"
- Solucione os erros: "1 of the recently updated CRLs for the certificate chain filter cannot be loaded" and "Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)"
Solucionar o erro: "An operating system error exception occurred with error message : Connection refused because the centralized updater tried to connect to host www.example-URL.domain (Origin: Updater, ID: 305, X times within the last X 'time')"
- Identifique a autoridade de certificação cuja CRL disparou o erro.
Na interface do usuário do Gateway da Web, vá para Solução, Arquivos de registro, mwg-errors, e localize o mwg-coordinator.errors.log que corresponde ao intervalo de tempo do aviso no Dashboard. Uma entrada no log corresponde à hora do aviso no Dashboard. A entrada inclui o URI de CRL completo ao qual a Web Gateway tentou se conectar. Como
Failed to connect to host: 'http://crl.aol.com/AOLMSPKI/aolServerCert.crl' caught exception: 'COSErrException' with errorcode: '101', message:'errno: 101 - 'Network is unreachable
- Teste o URI da lista de certificados revogados.
Use o URI de lista de certificados revogados que você encontrou na etapa 1 e tente recuperar o arquivo usando estes três métodos:
INDICADO Teste com o navegador da Web e com a Web Gateway para ver se o problema permanece consistente ou ocorre apenas ao passar pelo Gateway da Web.
- Solicite o URL em um navegador da Web que não esteja passando pelo Gateway da Web.
- Solicite o URL em um navegador da Web fora de sua rede.
- Use o wget a partir de seu Gateway da Web para solicitar o arquivo. Como
wget http://crl.comodo.net/UTN-USERFIRST.crl
- Examine os resultados.
- Se todos os três testes falharem, o problema será o servidor que hospeda a lista de certificados revogados. O host do servidor provavelmente está inativo. Use o seguinte guia:
- Se você estiver usando uma lista de autoridades de certificação local conhecida, poderá remover manualmente o URI de lista de certificados revogados dessa autoridade de certificação. Depois que o URI for removido, o Gateway da Web não irá mais obtê-lo durante a atualização programada.
- Se você estiver usando a lista de McAfeementos atualizados, abra um caso no Suporte técnico e solicite que McAfee atualização ou remova a lista de certificados revogados em questão. Forneça um arquivo de comentários (Solução, Respostas) e o URI da lista de certificados revogados. Consulte o Informações relacionadas deste artigo para obter detalhes de contato.
- Se a e C falharem, o problema provavelmente estará dentro da rede em que um dispositivo de rede, como um firewall, está bloqueando a conectividade com o servidor que hospeda a lista de certificados revogados.
- Se apenas C falhar, o problema provavelmente estará dentro do caminho de rede upstream do Gateway da Web.
Solucione os erros: "1 of the recently updated CRLs for the certificate chain filter cannot be loaded" and "Download of Certificate chain filter failed for node xxxxxxxx-xxxx-xxxx-xxxxxx (HOSTNAME)(Origin: Updater, ID: 1652)"
- Identifique a autoridade de certificação cuja CRL disparou o erro.
Na interface do usuário do Gateway da Web, vá para Solução, Arquivos de registro, mwg-errors, e localize o mwg-coordinator.errors.log que corresponde ao intervalo de tempo do aviso no Dashboard. Uma entrada no log corresponde à hora do aviso no Dashboard. A entrada inclui uma referência ao URI da lista de certificados revogados. Como
Failed to download file: 'UTN-USERFirst-NetworkApplications.crl'.
- Pesquise a lista de autoridade de certificação conhecida (local ou McAfee-mantida) para o URI de lista de certificados revogados.
- Se você estiver usando a lista de McAfeementos atualizados, poderá pesquisar na lista em Policy, Contém, Listas inscritas, Autoridade de certificação, Autoridades de certificação conhecidas (McAfee mantidas). Use o campo filtro para pesquisar o URI de lista de certificados revogados encontrado na etapa 1.
- Se estiver usando uma lista mantida localmente, você poderá pesquisar na lista em: Policy, Contém, Listas personalizadas, Autoridade de certificação. Procure o URI da CRL que você encontrou na etapa 1.
- Teste o URI da lista de certificados revogados.
Use o URI da lista de certificados revogados da autoridade de certificação que você encontrou na etapa 2 e tente recuperar o arquivo usando estes dois métodos:
- Solicite o URL no seu navegador da Web.
- Use o wget do seu Gateway da Web e solicite o arquivo. Esse método é preferível porque o navegador local pode ver resultados diferentes dos Gateway da Web. O Gateway da Web é a entidade que está tentando download o arquivo. Como
wget http://crl.comodo.net/UTN-USERFIRST.crl
- Examine os resultados.
Se a lista de certificados revogados estiver disponível, o navegador fará download de um arquivo. CRL do servidor Web.
- Uma download bem-sucedida do arquivo. CRL indica que não há um problema com o servidor que hospeda o. CRL. Se você conseguir download a CRL a partir do seu navegador e Gateway da Web, mas ainda estiver vendo o erro no Dashboard, siga estas etapas:
- Verifique se não há outra lista de certificados revogados que esteja disparando o aviso. Consulte a etapa 1.
- Abra um caso com o Suporte técnico e forneça uma arquivo comentáriosSolução, Respostas). Consulte o Informações relacionadas deste artigo para obter detalhes de contato.
- Se você fizer isso válida receber uma arquivo. CRL, há um problema com o servidor que hospeda o arquivo, ou o local do URI da CRL foi alterado. Nesse caso, você poderá ser redirecionado para outra página da Web ou download um. html arquivo em vez disso. Nesse caso, o Gateway da Web não pôde processar a arquivo. CRL e reportaria o erro. Se você estiver válida capaz de download a CRL a partir do seu navegador e Gateway da Web, siga estas etapas de correção:
- Se você estiver usando uma lista de autoridades de certificação local conhecida, poderá remover manualmente o URI de lista de certificados revogados dessa autoridade de certificação. Depois que o URI for removido, o Gateway da Web não irá mais obtê-lo durante a atualização programada.
- Se você estiver usando a lista de McAfeementos atualizados, abra um caso no Suporte técnico e solicite que McAfee atualização ou remova a lista de certificados revogados em questão. Forneça um arquivo de comentários (Solução, Respostas) e o URI da lista de certificados revogados. Consulte o Informações relacionadas deste artigo para obter detalhes de contato.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
|