解析"515上游证书不受信任"Umbrella SWG出错

下载选项

  • PDF     (494.3 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (275.1 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (228.5 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2025 年 9 月 3 日
文档 ID:224788

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍安全Web网关(SWG)上“515上游证书不受信任”错误的原因和解决方法。

    错误描述

    当通过Umbrella安全Web网关访问HTTPS网站时,可能出现以下错误:

    "515 Upstream Certificate Untrusted"

    360069883331360069883331

    此错误表示无法验证网站证书。

    原因

    Umbrella验证由网站提供的数字证书,以确认服务器的真实性并验证受信任的机构是否已经颁发证书。

    证书问题可能因多种情况而导致。出现此错误时,同一网站通常无法访问或在没有Umbrella SWG的普通Web浏览器中显示警告或错误页面。出于安全考虑,安全网关不允许最终用户绕过证书错误。

    错误的常见原因

    • 证书不是由受信任的根颁发机构颁发的
      Umbrella维护一个根证书颁发机构列表,该列表可以识别网站。证书必须由其中一个机构签署。Umbrella从主要Web浏览器使用的通用源获取此列表。如果您确定SWG不信任合法证书颁发机构,请联系Umbrella支持部门。

    • 证书主机名与目标URL不匹配
      证书中指定的主机名必须与用户正在访问的URL(例如,在地址栏中键入的URL)匹配。 如果主机名不匹配,则证书无效。

    • 证书已过期
      网站证书已过过期日期。

    • 证书已吊销
      网站证书已被根证书颁发机构撤销,可能是由于欺诈使用。

    • 网站未提供中间CA链
      网站必须提供完整的证书链(包括任何中间证书颁发机构),以允许最多到根证书颁发机构的验证。如果缺少此链,Umbrella无法验证证书。某些证书使用授权信息访问扩展(RFC4325)允许客户端自动查找中间证书。Umbrella支持此功能,但并非在所有配置中均支持。您必须为此功能启用Umbrella File Inspection

    • 主机名中的字符无效
      如果主机名包含无效字符,SWG无法验证证书。Internet主机名中的有效字符包括RFC952和RFC1123中定义的字母字符(A-Z)、数字(0-9)、减号(-)和句点(.)。某些浏览器允许使用其他字符,但SWG不支持这些字符。

    分辨率

    Umbrella安全Web网关支持证书错误处理配置。有关实施此功能的详细信息和说明,请参阅文档启用证书错误处理

    修订历史记录

    版本 发布日期 备注
    1.0
    05-Sep-2025
    初始版本
    TAC Authored

    由思科工程师提供

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品