المقدمة
يوضح هذا المستند كيفية أستكشاف أخطاء انتهاء صلاحية الشهادة وإصلاحها عند وصول تكامل Umbrella إلى s-platform.api.opendns.com أو fireeye.vendor.api.opendns.com.
مسألة
يمكن أن تفشل عمليات تكامل Umbrella التي تستخدم بعض العملاء من جهات خارجية مع حدوث خطأ أثناء التحقق من الشهادة الرقمية للخادم الخاص بواجهات برمجة التطبيقات (API) Umbrella على s-platform.api.opendns.com and fireeye.vendor.api.opendns.com. يختلف نص أو رمز الخطأ بناء على برنامج العميل المستخدم في التكامل، لكنه يشير عادة إلى وجود شهادة منتهية الصلاحية.
السبب
لا تتسبب شهادة الخادم في هذه المشكلة، وهي صالحة حاليا. وإنما يرجع السبب في ذلك إلى وجود مخزن ثقة شهادات غير محدث يستخدم من قبل العميل.
يستخدم خادم ويب الذي يخدم s-platform.api.opendns.com و fireeye.vendor.api.opendns.com شهادة رقمية يتم إصدارها (موقعة رقميا) بواسطة الشهادة الوسيطة R3 من مرجع التصديق دعنا نشفر. تم توقيع R3 بواسطة مفتاح عام موجود في كل من الحالي شهادة الجذر SRG Root X1 من Let's Encrypt، وإصدار قديم موقع بين دعامتين من SRG Root X1. وبالتالي، يوجد مساران للتحقق من الصحة: والذي ينتهي عند جذر SRG x1 الحالي، وينتهي عند مصدر الإصدار الموقع تبادليا، الشهادة DST Root CA X3، الصادرة عن المرجع المصدق IdenTrust.
يتوفر رسم تخطيطي للإصدار من Let's Encrypt. بالإضافة إلى ذلك، يمكن إستخدام أداة مختبرات Qualys SSL لعرض "مساري الاعتماد" مع الشهادات الخاصة بهم وتفاصيل الشهادة، مثل تواريخ انتهاء الصلاحية.
يتم الاحتفاظ بالشهادات الجذر في مخزن واحد أو أكثر من مخازن الشهادات الموثوق بها على أنظمة العملاء. في 30 سبتمبر 2021، انتهت صلاحية الشهادة DST Root CA X3. ومنذ هذا التاريخ، يفشل العملاء الذين لديهم شهادة DST Root CA X3 في المخزن الموثوق به لديهم، ولكن ليس لديهم شهادة جذر RG X1 الأحدث، في الاتصال ب s-platform.api.opendns.com أو fireeye.vendor.api.opendns.com بسبب خطأ في الشهادة. يمكن أن تشير رسالة الخطأ أو الرمز إلى شهادة منتهية الصلاحية كسبب للخطأ. الشهادة منتهية الصلاحية هي شهادة DST Root CA X3 في مخزن ثقة العميل، وليست شهادة الخادم لخوادم API، s-platform.api.opendns.com و fireeye.vendor.api.opendns.com.
قرار
لحل هذه المشكلة، قم بتحديث مخزن ثقة العميل لتضمين الشهادة SRG Root X1 الجديدة، والتي يمكن تنزيلها من موقع الويب الخاص ب Let's Encrypt. (توفر هذه الصفحة أيضا مواقع ويب لاختبار عملائك.) ارجع إلى مستندات العميل أو نظام التشغيل للحصول على تعليمات حول عرض مخزن ثقة العميل وتحديثه. في حالة توفر حزمة تحديث رسمية أو آلية تحديث تلقائي، يفضل عادة تحديث مخزن الثقة يدويا.
إذا كنت تقوم بتحديث مخزن الثقة يدويا باستخدام شهادة SRG Root X1 الجديدة، فإننا نوصي أيضا بإزالة شهادة DST Root CA X3 منتهية الصلاحية، في حالة ما إذا كانت التعليمات البرمجية لبناء مسار التحقق من الصحة الخاصة بالعميل تمثل مشكلة. يمكن لتحديث رسمي لمخزن التوثيق من موفر العميل أو نظام التشغيل الخاص بك إضافة SRG Root X1 وإزالة شهادة DST Root CA X3.
التعليقات