デジタル証明書のSWG証明書エラーのトラブルシューティング

はじめに

このドキュメントでは、デジタル署名付き証明書に対してのみ発生するUmbrella Secure Web Gateway(SWG)証明書エラーのトラブルシューティング方法について説明します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、UmbrellaセキュアWebゲートウェイに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

問題

UmbrellaセキュアWebゲートウェイ(SWG)でアプリケーションコントロールを有効にした後、特定のWebサイトセットで証明書エラーが発生していることがわかります。 これらの証明書エラーが常にデジタル証明書である場合は、この記事を続けてください。これらの証明書がすべて証明書である場合、SSL復号化を実行するには、『シスコルートCAの展開に関するUmbrellaドキュメント』を参照してください。

解決方法

アプリケーション制御を有効にした後で発生する証明書エラーは、通常、セキュリティカテゴリで証明書管理サービス(CMS)のDigicertをブロックしたことが原因です。Digicertサービスがブロックされると、クライアントが証明書を検証するために実行する証明書失効チェックが、すべてのDigicert署名付き証明書で失敗する可能性があります。

最も一般的な原因は、セキュリティアプリケーションカテゴリのブロックです。このブロックには、Digicertが自動的に含まれ、証明書の重大な問題を引き起こす可能性があります。

この問題を解決するには、Digicert OCSPおよびDigicertがアプリケーション設定によってブロックされていないことを確認します。調整が必要な設定の例として、このスクリーンショットの設定を参照してください。

360051888492

また、http://policy-debug.checkumbrella.com/にアクセスして、適用されることが予想されるポリシーが適用されていることを確認します。

この解決策を確認するには、アクティビティ検索でocsp.digicert.comクエリのスイッチが「Blocked」から「Allowed」に切り替わっていることを確認します。