診斷Digicert證書的SWG證書錯誤

簡介

本檔案介紹如何疑難排解Umbrella安全Web閘道(SWG)憑證錯誤（僅對數位簽章憑證產生錯誤）。

必要條件

需求

本文件沒有特定需求。

採用元件

本檔案中的資訊是根據Umbrella安全Web閘道。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

問題

您注意到，在Umbrella Secure Web Gateway(SWG)上啟用Application Controls後，一組選定的網站發生證書錯誤。 如果這些證書錯誤始終為Digicert證書，則繼續閱讀本文內容。如果這些證書都是證書，請參閱Umbrella文檔以部署思科根CA，以便執行SSL解密。

解決方案

啟用Application Controls後發生的證書錯誤最常見的原因是在Security類別下阻止了證書管理服務Digicert。在Digicert服務被阻止的情況下，客戶端為驗證證書而執行的證書撤銷檢查對於所有Digicert簽名的證書可能失敗。

最常見的原因是安全應用類別的塊，該類別可以自動包括Digicert並會導致嚴重的證書問題。

要解決此問題，請確保應用程式設定未阻止Digicert OCSP和Digicert。請參閱此螢幕截圖中的配置，作為需要調整的配置的示例：

360051888492

此外，請通過訪問http://policy-debug.checkumbrella.com/確保應用預期應用的策略

要確認此解決方案，請檢查「活動搜尋」中是否有ocsp.digicert.com查詢從「已阻止」切換到「允許」。