Digicert证书的SWG证书错误故障排除

简介

本文档介绍如何对仅对数字签名证书发生的Umbrella安全Web网关(SWG)证书错误进行故障排除。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于Umbrella安全Web网关。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

问题

您会发现，在Umbrella安全Web网关(SWG)上启用应用控制后，在选定的网站集上发生证书错误。 如果这些证书错误始终为Digicert证书，请继续阅读本文档。如果这些证书都是证书，请参阅Umbrella文档，以部署思科根CA以执行SSL解密。

解决方案

启用Application Controls后发生的证书错误最常见的原因是阻止了Security类别下的证书管理服务Digicert。当Digicert服务被阻止时，客户端为验证证书而执行的证书撤销检查对于所有Digicert签名的证书可能失败。

最常见的原因是安全应用类别的块，该块可以自动包括Digicert并导致严重的证书问题。

要解决此问题，请确保Digicert OCSP和Digicert未被应用设置阻止。请参阅此屏幕截图中的配置，作为需要调整的配置示例：

360051888492

此外，请通过访问http://policy-debug.checkumbrella.com/确保应用预期应用的策略

要确认此解决方案，请检查您的活动搜索是否将ocsp.digicert.com查询从“Blocked”切换到“Allowed”。