URLレトロスペクティブ登録サービスへの接続のトラブルシューティングが失敗しました。証明書の検証に失敗しました。

はじめに

このドキュメントでは、Cisco Secure Email GatewayとURLレトロスペクティブサービス間の通信の問題を特定して修正するのに役立つ情報とトラブルシューティングの手順について説明します。

背景

登録クライアントと呼ばれる内部サービスは、サービス証明書を最新の状態に保つ役割を担います。ただし、特定のネットワーク状況では、このプロセスが応答しなくなり、再試行が停止する場合があります。その結果、更新された証明書をタイムリーに受け取ることができなくなり、サービスの中断につながる可能性があります。

注:Cisco TACでは、この潜在的な問題を解決および回避するために、AsyncOSリリース15.0以降を実行しているすべてのユーザがこの記事で説明されているようにecupdateコマンドを予防的に実行することを強く推奨します。

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

症状

次のアラートが生成されます。

20 May 2025 07:37:04 +0700 Connection to URL Retrospective registration service failed. Certificate verification failed. Contact Cisco TAC for assistance.

これらのアラートは、設定された電子メールアドレスに送信されます。電子メールアドレスがアラートに関連付けられていない場合は、System Administration >> Alertsに移動してView Top Alertsをクリックするか、displayalerts CLIコマンドを実行することで確認できます。 

これらのエラーはecsログに記録されています。

esa01.example.com> grep "Warning|Critical" ecs

Fri May 16 18:57:05 2025 Warning: ECS: Cloud query failed. 'Empty polling URI.' 7-xyxxyzxyxxyz (or b'xyxxyzxyxxyzxyxxyzxyxx==' in base64 format) having URLs. Contact Cisco TAC for assistance.
Fri May 16 18:57:31 2025 Critical: ECS: Failed to regenerate token. Status Code: 403. Invalid Certificate.

回避策

この問題を解決するには、アプライアンスへのSSH接続を確立し、ecupdate forceを実行します。

esa01.example.com> ecupdate force

Requesting forced update of Enrollment Client.

登録クライアントが正常に更新されたことを確認するには、updater_logsとecsのログを監視してください。

esa01.example.com> tail updater_logs

Tue May 20 11:26:19 2025 Info: Received remote command to signal a manual update
Tue May 20 11:26:51 2025 Info: Acquired server manifest, starting update 9030
Tue May 20 11:26:51 2025 Info: Server manifest specified an update for case
Tue May 20 11:26:52 2025 Info: Server manifest specified an update for enrollment_client
Tue May 20 11:26:52 2025 Info: enrollment_client was signalled to start a new update
Tue May 20 11:26:52 2025 Info: enrollment_client processing files from the server manifest
Tue May 20 11:26:52 2025 Info: enrollment_client started downloading files
Tue May 20 11:26:52 2025 Info: enrollment_client waiting on download lock
Tue May 20 11:26:52 2025 Info: enrollment_client acquired download lock
Tue May 20 11:26:52 2025 Info: enrollment_client beginning download of remote file "http://updates.ironport.com/enrollment_client/3.0/enrollment_client/default/109101"
Tue May 20 11:26:52 2025 Info: enrollment_client released download lock
Tue May 20 11:26:52 2025 Info: enrollment_client successfully downloaded file "enrollment_client/3.0/enrollment_client/default/109101"
Tue May 20 11:26:52 2025 Info: enrollment_client started applying files
Tue May 20 11:26:52 2025 Info: enrollment_client applying file "enrollment_client"
Tue May 20 11:26:52 2025 Info: enrollment_client installing new libexec
Tue May 20 11:26:52 2025 Info: enrollment_client restarting
Tue May 20 11:26:55 2025 Info: enrollment_client verifying applied files
Tue May 20 11:26:55 2025 Info: enrollment_client updating the client manifest
Tue May 20 11:26:55 2025 Info: enrollment_client update completed
Tue May 20 11:26:55 2025 Info: enrollment_client waiting for new updates

esa01.example.com> tail ecs

Tue May 20 09:05:21 2025 Info: ECS: Device registration successful.