您在环境中配置 Cert-to-Kerberos 时,可能会遇到一些问题。您可以使用各种过程来诊断和修复这些问题。

错误消息:内部错误。请联系您的管理员 (Internal error. Please contact your administrator)

/opt/vmware/gateway/logs/authbroker.log 中查找以下消息

"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN failed with "Could not send OCSP request to responder: Connection refused (Connection refused) , will attempt CRL validation"

此消息表示“X.509 证书”中配置的 OCSP URL 不可访问或不正确。

OCSP 证书无效时发生的错误

"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder:http://asdkad01/ocsp". will attempt CRL validation."

当上载了无效的 OCSP 证书,或者 OCSP 证书被吊销时,会显示上述错误。

OCSP 响应验证失败时发生的错误

"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response: CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-http--26] WARN revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder: http://asdkad01/ocsp". will attempt CRL validation."

OCSP 响应验证失败时,有时会显示上述错误。

错误消息:无法从以下会话检索客户端证书: <sessionId> (unable to retrieve client certificate from session: <sessionId>)

如果显示此消息:

  • 请检查 X.509 证书设置并确定是否已进行配置

  • 如果配置了 X.509 证书设置:请检查安装在客户端浏览器上的客户端证书,以确定该证书的颁发者是否为 X.509 证书设置中“根和中间 CA 证书”字段上载的同一 CA。