簡介
本文說明如何在續訂Umbrella SAML簽名證書後解決「UPN not configured」錯誤。
概觀
「UPN not configured」是一個因多種原因而發生的常規錯誤。一個潛在原因與Umbrella SAML簽名證書過期有關,該證書每年續訂。有關證書過期的最新詳細資訊,請閱讀我們的公告門戶。
如果Umbrella證書到期而您尚未採取行動,則會阻止使用者訪問Internet,並可能出現以下錯誤:
- 通過SWG瀏覽Web時出現Umbrella品牌的「UPN Not Configured」錯誤
- 身份提供程式呈現的其他一些錯誤

本文討論導致此錯誤的兩種不同方案:
-
場景1 — 匯入新的Umbrella證書後出錯
-
案例2 - Umbrella憑證到期後錯誤
影響
SWG的新使用者登入失敗,阻止網際網路訪問。這並不一定適用於所有使用者,但會在以下情況下觸發:
- 使用者的會話由於我們的重新身份驗證設定而過期(例如,每日)
- 新使用者登入
- 使用者清除瀏覽器快取或使用新瀏覽器。
場景1 — 匯入新的Umbrella證書後出錯
如果錯誤直接發生在進行更改之後(例如,為準備Umbrella的證書續訂),則很可能是因為證書匯入錯誤。
確保同時匯入當前和新的Umbrella證書
在準備證書續訂時,Umbrella使新證書可用,但在到期時間之前,新證書不會用於簽名。 因此,您的IdP配置必須在服務提供商/信賴方配置中列出兩個證書。 從後設資料重新配置以解決此問題。
- 當前證書 — 即將到期
- Future Certificate — 對下一年度有效。
確保屬性宣告對映正確
如果您已重新配置服務提供商/信賴方,則需要執行其他配置更改以確保IdP正在傳送驗證SAML響應所需的屬性。這在Microsoft ADFS中很常見,需要重新建立我們的理賠對映。
案例2 - Umbrella憑證到期後發生錯誤
如果在Umbrella證書過期後發生此錯誤,並且未對IdP進行任何更改。
確保已將新證書匯入到身份提供程式
若要解決此問題,請手動將新證書匯入到您的身份提供程序。當我們的證書即將續訂時,我們的公告門戶中會提供新證書。
(建議)配置自動後設資料更新
Umbrella現在提供了一個固定的後設資料URL,可用於無縫的後設資料更新。 建議將此方法配置為防止在下次證書滾動更新期間手動操作。
確保身份提供程式可以訪問證書吊銷清單(CRL)伺服器地址
Umbrella現在使用不同的證書頒發機構,從而確保這些CRL/OCSP地址可用於IdP伺服器:
Microsoft ADFS — 手動證書匯入示例
Microsoft ADFS是一個常用的IdP,用於驗證請求簽名。可以按如下方式更新證書:
- 開啟AD FS管理
- 展開信賴方信任,並找到Umbrella SWG的RP
- 按一下右鍵ADFS中的信賴方,然後選擇屬性
- 在Signing索引標籤上傳新憑證

在證書到期日期臨近時,思科提供的後設資料包含多個證書,為無縫滾動做好準備。當前證書仍然有效時不要將其刪除。思科使用當前證書繼續簽名,直到到期日期/時間。